前员工保留特权窃取120万美元,Pump.fun被盗事件有多离谱?
5 月 17 日凌晨,社区成员在社交媒体发文称,Solana 生态 Meme 发射平台 pump.fun 疑似被盗价值 8000 万美元的 SOL 代币和大量 Meme 币。随后,攻击者「STACCoverflow」在 X 平台自爆,并向 Solana 上的 Meme 代币持有者空投几十至几百不等的 SOL 代币, 更扬言这些空投会使 Solana 要因此进行分叉。
根据攻击者「STACCoverflow」的数条推文来看,攻击者的精神状态疑似因家人去世而受到打击,做出报复性攻击。但是也有社区成员反应攻击者疑似pump.fun内部员工,利用私钥泄露对pump.fun进行攻击。
究竟是内部员工坚守自盗,还是「受伤」黑客进行普世空投?就 pump.fun 被盗事件进行整体回顾,并对此事件对 pump.fun 乃至 Solana 的影响进行分析。
pump.fun 受到攻击,反应最快的是钱包
5月17日晚,一些 Solana用户发现自己钱包中多出几十到几百的SOL代币。而后社区成员发现,疑似黑客正在攻击pump.fun,并且黑客还在X平台发文。从内容可以看出,攻击者情绪很激动,推文内容较为混乱。
在得知攻击者要将被盗资金进行空投后,一些社区成员也纷纷在其推文下回复钱包地址,并说些鼓励的话。尤其在得知攻击者疑似因为母亲去世而陷入疯狂,更是在集体吊念攻击者的母亲并附上地址。
不少已经获得攻击者空投的SOL代币的用户纷纷发帖表示感谢,并赞扬攻击者的行为。此外,还有些人推出Meme 币BunkerFuts。根据Birdeye数据,BunkerFuts代币最高涨幅近19倍。
Wintermute 研究主管 Lgor Lamberdiev 发文表示,pump.fun 疑似私钥泄露导致被攻击,由于服务帐户地址5PXxuZ 以某种方式签署了 txs,将资金转移到攻击者和随机地址,而不是部署 Raydium 池,此举能够证明极有可能是pump.fun泄露私钥导致被攻击。
具体攻击者是如何盗取pump.fun资金呢?攻击者利用marginfi借贷平台对pump.fun进行闪电贷攻击,将所有pump.fun上已创建但是未被填满到可以上Raydium状态的池子全部填满。这时池子中的SOL代币因为满足上Raydium的标准转入私钥泄露的地址,同时攻击者及时抽走了转进来的SOL代币。
攻击者盗取价值 8000 万美元的代币是否属实?
作为本次攻击事件的受害者pump.fun终于发声了,并披露出攻击者为公司前员工,并利用其在公司的特权非法获取了提款权限,并借助借贷协议实施了闪电贷攻击,窃取金额约 12300 SOL(价值约 190 万美元)。
随后pump.fun官方发文表示已经升级了合约,攻击者无法再窃取任何资金,并暂停了交易,目前无法购买或出售任何代币。当前正在迁移到 Raydium 的任何代币均无法交易,并且在未来的一段时间内将不会迁移。任何已经成功从 pump.fun 的合约中转移出来,并在 Raydium 上锁定流动性的代币是安全的。如果用户曾经将钱包连接到 pump.fun,用户的钱包是安全的。
值得一提的是,当攻击事件发生时,反应最快并不是pump.fun官网,而是钱包等关联项目,Phantom钱包、Bonkbot第一时间暂停与pump.fun的关联。
pump.fun 信任度降至冰点,未来可能逐渐消亡
回看整个pump.fun被盗事件,有几个特别有意思的现象。
首先是吃瓜群众对黑客行为「随机撒钱」的称赞和追捧,不少人看到新闻的第一反应是看一下钱包是否有SOL转入,大有「开盲盒」的即视感。当然,这也可能跟大家并非是pump.fun 的交互用户有关,毕竟事不关己。
另外一个值得思考的问题是,pump.fun前员工为什么在离职后依旧掌握公司特权,最终导致攻击事件的发生。一个可能原因在于 pump.fun因自身机制不透明导致存在可被利用的「后门」。随着这次攻击,也让用户对pump.fun 的信任度降至冰点。如果后续拿不住有效解决措施,pump.fun 可能会逐渐淡出大众视野,渐趋消亡。
最后是对 Solana 的影响,笔者认为只要不涉及公链自身机制存在的缺陷问题,仅仅只是项目自身问题导致的风险,对于 Solana 的发展几乎毫无影响。
