Solana 迷因幣平台 Pump Fun 遭私鑰竊取+閃電貸攻擊
Solana 迷因幣平台 Pump Fun 驚傳遭到私鑰竊取與攻擊,根據團隊報告顯示此次攻擊損失約 190 萬美元的資產,不過攻擊者宣稱將會空投 8,000 萬美元的資產給予 SAGA 等迷因幣持有者?
背景知識:Pump Fun 是什麼?
隨著近期 Solana 生態帶起的迷因幣熱潮,出現許多協助用戶已低門檻的方式發行迷因幣的產品,其中 Pump Fun 就是此產業的佼佼者,因其主打公平發幣、沒有預留份額,成功受到市場關注,每天發行超過千種的迷因幣。
(推特貼文吸金上億鎂:迷因幣預售潮 27 種 Solana 迷因幣募 1.22 億美金)
廣告 - 內文未完請往下捲動
產品流程如下:Pump Fun 提供想要發行迷因幣的用戶簡易使用的前端介面,用戶完成代幣設定後開始對外募集資金,募資價格與對換代幣數量依照聯合曲線 (bonding curve) 進行計算,若募資達到一定 69,000 美元的金額,合約將流動性自動部署於 Raydium 之上完成上市。
Pump Fun 遭到駭客攻擊
事發經過
昨日晚間,一名開發者聲稱自己完成搶劫,從聯合曲線中獲得餘額,疑似盜取了 Pump Fun 的資產。而 Pump Fun 也公開承認此事件並在當下暫停了平台上的交易,目前經過處理後團隊表示協議上的流動性以消除安全疑慮。
不過該開發者似乎情緒非常低落,發文表示自己唯一想要的事情是其母親能夠重生,文中參雜許多負面字眼。
其也表示將會空頭約八千萬美元的資產給 SLERT、STACC、SAGA、RISKLOL 等迷因幣的持有者,也認自己為這個行動或許會導致 Solana 決定回滾交易並分叉。
攻擊分析
幾個小時後,Pump Fun 團隊釋出調查報告,表示自家的合約是安全的,此次攻擊主要是因為私鑰被前員工利用,從協議開啟管理員權限將流動性抽離,損失金額約為 12,300 SOL (約 190 萬美元)。
一名前員工使用 Solana 借貸協議上的閃電貸功能,借出鉅額的 SOL 代幣在 Pump Fun 購買代幣,使許多代幣的聯合曲線達到 100%,再利用其在公司的特權非法取得提款權限,將平台上的流動性取出,最後再償還閃電貸之貸款。
聯合曲線合約中的 4,500 萬美元流動性,只有約 190 萬美元受到影響。
團隊後續作為
目前 Pump Fun 團隊重新部署了合約,平台已經重新開啟,團隊表示將會手動彌補受到影響的代幣流動性,並於未來七天消除平台手續費用。