Làm thế nào mà một nhân viên cũ đã đánh cắp 2 triệu đô la từ Pump.Fun bằng cách sử dụng các khoản vay nhanh?

by

Làm thế nào mà một nhân viên cũ đã đánh cắp 2 triệu đô la từ Pump.Fun bằng cách sử dụng các khoản vay nhanh?

Là một nhà đầu tư tiền điện tử dày dạn kinh nghiệm với nhiều năm kinh nghiệm, tôi không thể không cảm thấy thất vọng khi nghe về vi phạm an ninh tại Pump.fun. Nền tảng từng cho thấy nhiều hứa hẹn trong không gian DeFi, hiện đã phải hứng chịu một bước thụt lùi lớn do một hành vi khai thác lợi dụng các hợp đồng đường cong liên kết của nó.

Một sự cố bảo mật nghiêm trọng đã xảy ra trên Pump.fun, một nền tảng khởi chạy mã thông báo dựa trên Solana, dẫn đến vụ trộm ước tính khoảng 2 triệu USD. Vụ vi phạm được dàn dựng bằng cách sử dụng các khoản vay nhanh nhằm lợi dụng các hợp đồng đường cong liên kết của nền tảng, làm suy yếu quá trình phát hành mã thông báo.

Với các khoản vay nhanh, người dùng có thể vay số tiền đáng kể một cách an toàn mà không cần thế chấp tài sản, nhưng họ phải hoàn trả đầy đủ khoản vay trong cùng một giao dịch. Kẻ tấn công đã khai thác cơ chế này, lấy đủ SOL để mua các đường cong liên kết của đồng meme của Pump.fun, dẫn đến hậu quả tài chính đáng kể.

Các biện pháp an ninh và tạm dừng giao dịch

Sau cuộc tấn công, Pump.fun đã dừng mọi hoạt động giao dịch trên nền tảng. Nhóm nghiên cứu tuyên bố:

“Giao dịch đã bị tạm dừng trên nền tảng của chúng tôi. Hiện tại, không thể mua hoặc bán đồng xu nào. Những đồng xu được chuyển sang Raydium sẽ không có sẵn để giao dịch trong thời gian dài.”

Người dùng được Raydium trấn an rằng tính thanh khoản được mã hóa của họ vẫn an toàn và không hề hấn gì. Ngoài ra, các bản cập nhật đã được thực hiện đối với các hợp đồng Pump.fun để ngăn chặn việc khai thác bất kỳ lỗ hổng nào trong tương lai.

Ai đã tấn công Pump.fun của Solana?

Là một nhà đầu tư tiền điện tử, gần đây tôi đã đọc được một số tin tức đáng lo ngại. Một kẻ khai thác có địa chỉ ví 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP được xác định là kẻ đã mua hết token của các dự án mới trong nháy mắt, đẩy đường cong liên kết đến giới hạn của nó. Lúc đầu, một người dùng ẩn danh có tên ‘Stacc’ đã nhận trách nhiệm về cuộc tấn công này trong một loạt bài đăng, mô tả nó giống như một hành động phản đối hơn là thu lợi tài chính.

Tiến về phía trước, thủ phạm đã bị vạch mặt là một nhân viên cũ bất mãn tên là Jarrett, nổi tiếng với cái tên STACCOverflow. Anh ta bày tỏ sự không hài lòng với công ty và nuôi dưỡng ý định phá hoại nền tảng này. Hơn nữa, Jarrett đã công khai chỉ trích tổ chức này trên mạng xã hội và tuyên bố tham vọng viết lại lịch sử, gạt bỏ quan niệm về việc bỏ tù. Cuối cùng, anh ta dự định phân phối số tiền ăn cắp được thông qua airdrop, do đó củng cố biệt danh của mình là “Web3 Robin Hood”.

Phản hồi của Pump.fun và các bước đi trong tương lai

Với tư cách là một nhà đầu tư tiền điện tử, tôi đã nhận được sự đảm bảo từ Pump.fun rằng hợp đồng của họ vẫn được đảm bảo an toàn xuyên suốt, bất chấp cuộc tấn công gần đây do một nhân viên cũ lạm dụng vị trí đặc quyền của họ gây ra. Nền tảng này hiện đã hoạt động trở lại, cho phép người dùng giới thiệu các đồng tiền mới và giao dịch bất kỳ đồng tiền nào chưa phát huy hết tiềm năng trong khoảng thời gian từ 15:21 đến 17:00 UTC. Trong một diễn biến tích cực, những đồng tiền đã đạt 100% trong khung thời gian này sẽ được bù đắp bằng cách khởi chạy lại trên Raydium với ít nhất tính thanh khoản ban đầu trong vòng 24 giờ tới. Hơn nữa, trong bảy ngày tiếp theo, phí giao dịch sẽ được miễn hoàn toàn!

Nhóm Pump.the fun hiện đang cộng tác với các chuyên gia bảo mật hàng đầu để giảm bớt hậu quả của sự cố này và ngăn chặn sự tái diễn của nó trong tương lai. Họ bày tỏ sự cảm kích đối với niềm tin và sự ủng hộ của cộng đồng trong suốt giai đoạn khó khăn này, đồng thời khẳng định: “Các dự án tiền điện tử của Solana đã phục hồi mạnh mẽ hơn trước”.

2024-05-17 09:40