Pump.fun 공격 및 190만 달러 도난 상세 정보

출처: 코인텔레그래프, 트위터 @pumpdotfun, Deng Tong, Golden Finance 편집

솔라나 멤코인 생성 도구인 펌프닷펀(Pump.fun)은 전 직원이 '본딩 커브' 공격을 통해 회사에서 200만 달러의 수익을 올렸다고 주장했습니다. "본딩 커브" 공격을 통해 회사로부터 200만 달러의 수익을 올렸다고 주장했습니다.

Pump.fun은 5월 16일 게시글에서 전 직원이 자신의 "특권적 지위"를 이용해 "출금"을 얻었다고 주장했습니다. 전직 직원은 자신의 "특권적 지위"를 이용하여 "접근 권한"을 얻고 계약의 내부 시스템을 방해했습니다.

Pump.fun의 본딩 커브 계약에 보관된 총 4,500만 달러 중 약 190만 달러가 도난당했습니다.

이 플랫폼은 일시적으로 거래를 중단했지만 현재 정상 운영을 재개했습니다.

펌프펀은 펌프펀의 스마트 컨트랙트는 "안전하다"며 이번 사건으로 피해를 입은 사용자들은 향후 24시간 이내에 이전에 보유했던 "유동성의 100%"에 접근할 수 있을 것이라고 밝혔습니다.

Pump.fun은 소셜 미디어에 다음과 같이 게시했습니다.

1. http://pump.fun 계약은 안전하며 항상 그래왔습니다.

2. 전 직원이 회사에서 자신의 특권적 지위를 이용해 12,300 SOL(약 190만 달러)을 부당하게 유용했습니다.

3. http://pump.fun重新上线. 15:21-17:00(UTC) 사이에 새 토큰을 발행하고 100%에 도달하지 않은 토큰을 거래할 수 있습니다.

4. 사용자 유동성을 유지하기 위해 15:21-17:00 UTC 사이에 100%에 도달하는 모든 토큰은 다음 24시간 동안 레이디움에서 이전에 소유한 유동성의 100%로 활성화됩니다.

5. 향후 7일간 거래 수수료는 0%입니다.

이 사건에 대한 자세한 요약은 다음과 같습니다:

15:21 UTC에 전직 직원이 회사에서 자신의 특권적인 지위를 이용하여 불법적으로 인출 한도를 획득하기 위해 솔라나 대출 계약의 플래시 대출을 사용하여 다음과 같이 했습니다:

1. SOL을 빌리고,

2. 해당 SOL을 사용하여 가능한 한 많은 토큰을 구매하여 토큰이 각각의 본딩 곡선에서 100%에 도달하고,

3. 토큰이 100%에 도달하면 본딩 곡선 유동성에 액세스하고,

4. 라이트닝 대출을 상환합니다.

17:00 UTC 기준, http://pump.fun 의 모든 거래가 중단되었습니다. 본딩 커브 계약의 유동성 4,500만 달러 중 약 190만 달러만 영향을 받았습니다.

다음 단계

• http://pump.fun 팀은 컨트랙트를 재배치했습니다. 거래가 향후 7일간 0%의 거래 수수료로 다시 시작됩니다. 토큰을 안전하게 생성하고 매매할 수 있습니다.

• 15:21~17:00 UTC 사이에 100%에 도달한 토큰은 레이디움에서 LP가 배치될 때까지 아무도 거래할 수 없는 불확정 상태입니다.

• < p>사용자를 온전하게 만들기 위해 http://pump.fun 팀은 향후 24시간 동안 15:21 UTC에 해당 토큰의 유동성보다 더 많은 양의 SOL 유동성을 해당 토큰의 LP에 시드할 것입니다.

안전하고 체계적인 방식으로 해당 토큰의 거래를 재개하는 것을 목표로 하고 있으니 조금만 기다려주시기 바랍니다.

우리는 이번 사태의 영향을 최소화할 뿐만 아니라 앞으로 이런 일이 발생하지 않도록 하기 위해 해당 분야에서 가장 존경받는 보안 전문가들과 협력하고 있습니다.

제보해 주신 모든 분들과 저희를 믿어 주신 업계 최고의 커뮤니티에 감사드립니다.

솔라나 토렌트가 그 어느 때보다 더 강력하게 돌아왔습니다.

Pump.fun의 게시글에 앞서, 암호화폐 마켓 메이커 Wintermute의 연구 책임자 이고르 이감베르디예프는 해킹이 내부 개인 키 유출에서 비롯되었으며, 이는 X 사용자로 의심되는 사용자 "STAC커버플로우".

암호화된 일련의 X 게시물에서 STACCoverflow는 "역사의 흐름을 바꾸려 한다"고 주장했습니다. 그리고 감옥에서 썩을 것이다."라고 주장했습니다. 또 다른 게시물에서는 "신경 쓰지 마세요, 전 완전히 속았어요"라고 덧붙였습니다.

이전 X 게시물에서 펌프닷펀은 법 집행 기관과 협력하고 있다고 밝혔습니다. 회사는 전 직원의 이름을 밝히지 않았으며 논평 요청에 즉시 응답하지 않았습니다.

해킹의 전개 방식

Pump.fun은 공격자가 솔라나의 대출 프로토콜인 레이디움에서 플래시 대출을 이용해 솔라나로부터 돈을 빌린 다음, 그 돈을 다음과 같은 용도로 사용했다고 말했습니다. "가능한 한 많은 토큰을 구매하기 위해".

토큰이 각각의 본딩 커브에서 100%에 도달하면 익스플로잇자는 본딩 커브 유동성에 접근하여 플래시 대출을 상환할 수 있었습니다.

Pump.fun은 공격이 5월 16일 오후 3시 21분부터 오후 5시(UTC) 사이에 발생했으며, 약 190만 달러 상당의 SOL 12,300개가 도난당했다고 밝혔습니다.

솔라나 메모리코인 런치패드는 이 시간 동안 피해를 입은 사용자들은 공격 이전에 보유했던 유동성을 100% 이상 회복할 수 있다고 밝혔습니다.