Ehemaliger Pump.fun-Mitarbeiter nutzt Auszahlungsbefugnis aus und verursacht Verlust in Höhe von 1,9 Millionen US-Dollar

Als Forscher mit Erfahrung im Kryptowährungs- und Blockchain-Bereich finde ich den jüngsten Vorfall mit Pump.fun und die Veruntreuung von Geldern besorgniserregend. Die Tatsache, dass ein ehemaliger Mitarbeiter seine „privilegierte Position“ ausnutzen konnte, indem er auf die Abhebungsbehörde zugriff und Blitzkredite im Rahmen eines Solana-Kreditprotokolls nutzte, um rund 1,9 Millionen US-Dollar zu stehlen, ist ein klarer Hinweis auf einen Mangel an angemessenen Sicherheitsmaßnahmen und internen Kontrollen innerhalb des Unternehmens Organisation.


Als Krypto-Investor habe ich kürzlich von den enttäuschenden Neuigkeiten von Pump.fun erfahren, einem auf Solana basierenden Meme-Coin-Launchpad. Leider stellte sich heraus, dass ein ehemaliger Mitarbeiter seinen „Insider-Zugang“ ausnutzte und die Funktion „Autorität entziehen“ nutzte, um rund 12.300 SOL zu veruntreuen, was damals etwa 1,9 Millionen US-Dollar entsprach. Dieses unglückliche Ereignis ist eine deutliche Erinnerung an die Bedeutung von Transparenz und Rechenschaftspflicht innerhalb der Krypto-Community.

Um weiteren Schaden abzuwenden, stellte Pump.fun den Handel ein und aktualisierte die Verträge.

Flash-Kredit-Exploit

In einem Beitrag auf

Durch den Einsatz von Schnellkrediten von einer Solana-Kreditplattform konnte eine Person SOL erwerben und anschließend Münzen kaufen, mit dem Ziel, ihren Wert bis zum Höchstpunkt auf den Bindungskurven zu steigern. Dieses Manöver verschaffte ihnen Zugang zu der durch die Anleihekurven bereitgestellten Liquidität und ermöglichte so eine rechtzeitige Rückzahlung der Schnellkredite.

Als Forscher untersuchte ich die jüngsten Ereignisse auf der Handelsplattform und stellte fest, dass Transaktionen vorübergehend ausgesetzt waren, was sich auf rund 1,9 Millionen US-Dollar des gesamten Liquiditätspools auswirkte, der sich auf 45 Millionen US-Dollar belief. Das Pump.fun-Team reagierte umgehend und stellte die Verträge wieder her und gewährte für alle Trades im darauffolgenden Zeitraum von sieben Tagen eine Gebühr von 0 %.

Die Meme-Coin-Generierungsplattform räumte ein, dass sich Token, die während des Exploits das maximale Angebot erreichen, nun in einem Zustand der Unsicherheit befinden und nicht gehandelt werden können, bis neue Liquiditätspools auf Raydium, der Solana-Kreditplattform, eingerichtet werden. Um diese Unannehmlichkeiten auszugleichen, haben sich die Entwickler verpflichtet, die Liquiditätspools der betroffenen Münzen innerhalb der nächsten 24 Stunden mit einer gleichwertigen oder größeren Menge an SOL wieder aufzufüllen.

Als engagierter Forscher im Bereich des Kryptowährungshandels weiß ich, wie wichtig es ist, eine sichere und geordnete Wiederaufnahme des Handels mit den betreffenden Münzen sicherzustellen. Um dies zu erreichen, haben wir mit angesehenen Sicherheitsexperten der Branche zusammengearbeitet. Unser Ziel ist es nicht nur, die Auswirkungen der aktuellen Situation abzumildern, sondern auch zu verhindern, dass sich solche Vorkommnisse in Zukunft wiederholen.

Interner privater Schlüsselleck

Als Forscher vor der Ankündigung von Pump.fun hatte ich, Igor Igamberdiev von Wintermute, den Hack des Kryptowährungsmarktes auf ein internes Leck eines privaten Schlüssels zurückgeführt und einen Verdacht gegenüber dem Benutzer „STACCoverflow“ geäußert.

Nach kurzer Zeit gab der Benutzer „Stacc“ die Ausführung des Exploits zu und äußerte seinen Unmut gegenüber seinen „Chefs“ bei Pump.fun. Er hielt sie aufgrund ihres unangemessenen Verhaltens für ungeeignete Vertreter der „Blockchain“-Community.

Weiterlesen

2024-05-17 19:27