一文速覽Pump.fun攻擊事件前因後果

2024-05-18 00:05:51

編譯:加密韋馱

來源:AC Capital

Pump 被盜事件懶人包,感謝 @0x_charlemagne 老哥對事故原因的精彩分析,這裏進行翻譯並加上我一點個人推測。

攻擊怎么進行?

首先這個攻擊者 @STACCoverflow 並不是一個牛逼的黑客大神,而應該是 @pumpdotfun 的前員工。他擁有 Pump 用於創建每個土狗 Raydium 交易對這個功能權限的錢包账戶,我們稱之為「被黑账戶」。而 Pump 上創建的土狗在沒達到上 Raydium 標准前的所有 Bonding Curve LP 底池我們稱為「預備账戶」。

攻擊者通過 @marginfi 借了一筆閃電貸來把所有已創建但是未被填滿到可以上 Raydium 狀態的池子全部填滿。原本這時會發生的操作是本來存在虛擬池「預備账戶」中裏的 $Sol 因為達到了上 Raydium 的標准會被轉入這個「被黑账戶」。但此時攻擊者抽走了轉入進來的 $Sol,讓這些本應該上 Raydium 並鎖池子的 memecoin 都無法上 Raydium( 因為池子沒錢)

那么,到底攻擊者黑了誰的錢?

對此 @0x_charlemagne 老哥解釋道:

首先肯定不是 @marginfi 的。因為閃電貸的錢在同區塊歸還,它的用途只是為了觸發預備账戶向被黑账戶轉錢這一個操作,不會損失

其次以往已經發到 Raydium 的土狗因為 LP 已經鎖了,應該是不受影響 ( 個人推測 )

倒黴的應該是在這一攻擊發生之前,整個 Pump 裏所有尚未被填滿的池子中,所有买進來了的用戶,他們的 $Sol 都被上述攻擊轉走了。這也就解釋了為什么說受損可能到 $80M 這么多(注:據最新信息,損失金額約為 200 萬美元)。

為什么攻擊者會有這個「被黑账戶」私鑰?

首先肯定是團隊的管理不當,這個沒得洗,跟 Blast 那個朝鮮愛國網絡开發將領一樣。

其次,我們可以猜測一下,這個填滿池子可能本身就是這個攻擊者之前的工作之一。就好比 Friendtech V1 去年 launch 的時候,有大量搶买你 key 的機器人,在最初的幾天,大概率就是官方自己的,起到給 Key 做市,用於引導最初熱度的作用。

可以大膽推測,當時 Pump 為了能做最初的冷啓動,讓攻擊者負責用項目自己的錢去填發的幣的池子(估計多數是自己發的,比如 $test $alon ) 讓他們上 Raydium 然後拉盤制造關注度。只是沒想到最後會成為內鬼的鑰匙。

經驗教訓

首先,仿盤們一定要注意,不要傻傻只抄個皮毛,意味做好了產品放在那裏就有人來交易了。搞互助盤你得提供一個初始推力。

然後一定要做好權限管理,注意安全。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

Uniswap公告Unichain主網明年初上線!首測路線圖兩功能,UNI強彈17%

去 中心化交易所(DEX)龍頭 Uniswap 於 10 月宣佈推出專為 DeFi 設計的 Lay...

DaFi Weaver
7 15小時前

下周必關注|LayerZero決定是否开啓“費用开關”;Aligned空投注冊結束(12.23-12.29)

下周重點預告 12 月 23 日 Aligned 將向 891322 個地址空投 26% 的 AL...

星球日報
8 15小時前

一周代幣解鎖:下周無高比例或金額重大的代幣解鎖

下周,共有 8 個項目解鎖,其中沒有重大解鎖,MOCA 解鎖流通量的 2.9% 。 Metars...

星球日報
7 15小時前

空投周報 | OpenSea基金會官推上线;Azuki、Doodles疑似即將發幣(12.16-12.22)

@OdailyChina @web3_golem Odaily星球日報盤點了 12 月 16 日至...

星球日報
8 15小時前

區塊鏈的達摩克裏斯之劍:一文讀懂谷歌新量子芯片對區塊鏈的影響

前言:谷歌推出了量子芯片 Willow 可以在 5 分鐘之內便完成了當今最快的超級計算機都需要 1...

星球日報
7 15小時前

資金費率的演變:從2021年黃金時代,到2024-2025年套利復興

資金費率起源 資金費率起源於加密貨幣衍生品市場,特別是從永續期貨合約中發展而來。它作為一種機制,用...

Block Beats
8 1天前