フラッシュローン攻撃により、SolanaベースのPump Funから200万ドルが流出

フラッシュローン攻撃でPump Funから200万ドルが流出

トークンをローンチするためのソラナ（Solana/SOL）ベースのプラットフォームであるPump.Funが悪用され、200万ドル（約3億円）近い損失が発生したことが明らかになった。

1/6

It seems like @pumpdotfun lost ~2k SOL ($300k+) and a bunch of memecoins through a possible private key leakage

So let me share evidence of it👇https://t.co/yuuKYkamfZ

— Igor Igamberdiev (@FrankResearcher) May 16, 2024

攻撃者はPump.FunのBonding curve contracts（ボンディングカーブ契約）をフラッシュローンの助けを借りて悪用し、トークン発行メカニズムを弱体化させたとみられており、フラッシュローンは、借り手が1回の取引内で返すことを条件に、無担保で大金を借りられる方法である。このフラッシュローンを活用することで、攻撃者はPump.funのミームコインのBonding curveを買い取るのに十分なSOLを獲得でき、プラットフォームの財務的損失につながったとのこと。

仮想通貨マーケットメーカーのWintermute（ウィンターミュート）の研究責任者であるイーゴリ・イガンベルディエフ（Igor Igamberdiev）氏によると、彼らは約12,300SOL（約3億円）を失ったという。その結果、Pump.funはXへの投稿で情報漏えいを認めている。今回の攻撃を受け、Pump.funはプラットフォーム上のすべての取引活動を一時停止しており、次のように述べている。

われわれは、Pump.funのボンディングカーブの契約が侵害されたことを知っており、この問題を調査している。コインの売買はできません。現在Raydiumに移行中のコインは、無期限で取引できなくなります。

さらに同調査チームは、さらなる搾取を防ぐために契約を更新し、TVL（プロジェクトに預けられた資産）と接続されたウォレットが安全であることをユーザーに保証した。

ソーシャルメディアユーザーがこの悪用を認める

Pump.funチームは、法執行機関やその他の関係者と協力して、侵害を調査し、誰がそれをしたかを突き止めており、この出来事は、推測に過ぎないが、秘密鍵の漏えいが背後にあるのではないかという議論につながっている。

実際、@Staccと名乗るソーシャルメディアユーザーがこの悪用を認めており、@Staccは一連の投稿の中で、この攻撃は金儲けのためではなく、抗議の行動であったとしている。彼は自分の悩みや、最近母親を亡くしたという事実をほのめかし、その結果、行動を起こさせたのは精神的苦痛であることをほのめかしたうえで、「歴史の流れを変えるのは僕だ」と主張し、ソラナ上のミームコイン空間を混乱させる決意を示唆している。

直前には1日の最高収益を記録していたPump.Fun

Pump.Funは、Solanaブロックチェーン上での新しいトークンの作成とリリースのプロセスを容易にするために作られている。

このプラットフォームの特別な特徴は、プレセールやチーム割り当てを行わず、作成されたすべてのトークンの安全性を保証することでラグプルを防止するという事実にある。プラットフォームはかなり人気があり、エクスプロイトの2日前の5月14日（火曜日）には、1日の最高収益123万ドル（約1.9億円）を記録しており、ユーザーは少額の手数料で新しいトークンを鋳造し、トークン供給量に基づいてトークンの価格を決定するボンディングカーブで取引できるとのことだ。