Bitget App
交易“智”变
行情交易合约跟单策略理财Web3
Pump.fun凌晨被盗,简述事件始末

Pump.fun凌晨被盗,简述事件始末

律动BlockBeats律动BlockBeats2024/05/17 02:58
作者:律动BlockBeats
原文作者:Charlemagne,加密 KOL
原文编译:加密韋馱,AC Capital 合伙人


Pump 被盗事件懒人包,感谢 @0x_charlemagne 老哥对事故原因的精彩分析,这里进行翻译并加上我一点个人推测。


攻击怎么进行?


首先这个攻击者 @STACCoverflow 并不是一个牛逼的黑客大神,而应该是 @pumpdotfun 的前员工。他拥有 Pump 用于创建每个土狗 Raydium 交易对这个功能权限的钱包账户,我们称之为「被黑账户」。而 Pump 上创建的土狗在没达到上 Raydium 标准前的所有 Bonding Curve LP 底池我们称为「预备账户」。


攻击者通过 @marginfi 借了一笔闪电贷来把所有已创建但是未被填满到可以上 Raydium 状态的池子全部填满。原本这时会发生的操作是本来存在虚拟池「预备账户」中里的 $Sol 因为达到了上 Raydium 的标准会被转入这个「被黑账户」。但此时攻击者抽走了转入进来的 $Sol,让这些本应该上 Raydium 并锁池子的 memecoin 都无法上 Raydium( 因为池子没钱)


那么,到底攻击者黑了谁的钱?


对此 @0x_charlemagne 老哥解释道:


首先肯定不是 @marginfi 的。因为闪电贷的钱在同区块归还,它的用途只是为了触发预备账户向被黑账户转钱这一个操作,不会损失


其次以往已经发到 Raydium 的土狗因为 LP 已经锁了,应该是不受影响 ( 个人推测 )


倒霉的应该是在这一攻击发生之前,整个 Pump 里所有尚未被填满的池子中,所有买进来了的用户,他们的 $Sol 都被上述攻击转走了。这也就解释了为什么说受损可能到 $80M 这么多(注:据最新信息,损失金额约为 200 万美元)。


为什么攻击者会有这个「被黑账户」私钥?


首先肯定是团队的管理不当,这个没得洗,跟 Blast 那个朝鲜爱国网络开发将领一样。


其次,我们可以猜测一下,这个填满池子可能本身就是这个攻击者之前的工作之一。就好比 Friendtech V1 去年 launch 的时候,有大量抢买你 key 的机器人,在最初的几天,大概率就是官方自己的,起到给 Key 做市,用于引导最初热度的作用。


可以大胆推测,当时 Pump 为了能做最初的冷启动,让攻击者负责用项目自己的钱去填发的币的池子(估计多数是自己发的,比如 $test $alon ) 让他们上 Raydium 然后拉盘制造关注度。只是没想到最后会成为内鬼的钥匙。


经验教训


首先,仿盘们一定要注意,不要傻傻只抄个皮毛,意味做好了产品放在那里就有人来交易了。搞互助盘你得提供一个初始推力。


然后一定要做好权限管理,注意安全。


原文链接


欢迎加入律动 BlockBeats 官方社群:

Telegram 订阅群: https://t.me/theblockbeats

Telegram 交流群: https://t.me/BlockBeats_App

Twitter 官方账号: https://twitter.com/BlockBeatsAsia

1

免责声明:文章中的所有内容仅代表作者的观点,与本平台无关。用户不应以本文作为投资决策的参考。

PoolX:锁仓获得新代币空投
不要错过热门新币,且APR 高达 10%+
立即参与!

你也可能喜欢

SCRTUSDT 现已上线合约交易和策略交易

Bitget 已于2024年11月21日(UTC+8)上线 SCRTUSDT 合约交易,最大杠杆为75倍,合约策略交易将同步开放。 欢迎通过我们的官方网站或 Bitget APP 开始合约交易。 SCRT U本位永续合约: 合约参数 详情 上线时间 2024年11月21日 20:00(UTC+8) 合约标的 SCRT 结算资产 USDT 最小变动价位 0.0001 最高杠杆倍数 75x 资金费用结算频率 每八个小时 交易时间 7*24 根据市场风险状况,Bitget可能调整包括最小变动价格、最高杠杆倍数、维持保证金率等重要合约参数; 【合约】 Bitget 的合约包括:U本位合约、币本位合约

Bitget Announcement2024/11/21 12:07

MORPHOUSDT 现已上线合约交易和策略交易

Bitget 已于2024年11月21日(UTC+8)上线 MORPHOUSDT 合约交易,最大杠杆为20倍,合约策略交易将同步开放。 欢迎通过我们的官方网站或 Bitget APP 开始合约交易。 MORPHO U本位永续合约: 合约参数 详情 上线时间 2024年11月21日 19:00(UTC+8) 合约标的 MORPHO 结算资产 USDT 最小变动价位 0.0001 最高杠杆倍数 20x 资金费用结算频率 每八个小时 交易时间 7*24 根据市场风险状况,Bitget可能调整包括最小变动价格、最高杠杆倍数、维持保证金率等重要合约参数; 【合约】 Bitget 的合约包括:U本位合约

Bitget Announcement2024/11/21 11:00

MetaMask 发布扩展 V12.6,引入加油站和链权限控制

简单来说 MetaMask 发布了其 v12.6 扩展,引入了无需 ETH 支付 gas 费的代币交换 Gas Station,以及为用户提供对账户和网络权限控制的链权限控制。

MPOST2024/11/21 10:55

Ripple 与 Mercy Corps Ventures 加强合作,助力新兴市场企业家

简单来说 Ripple 推出“释放机遇”作为其与 MCV 合作的下一阶段,旨在支持新兴市场的企业家通过区块链和金融科技开发金融弹性解决方案。

MPOST2024/11/21 10:55