Solana : Un hack à 2 millions de dollars frappe la plateforme Pump Fun
Un flash loans et puis s’en va. Décidément, cette semaine est sanglante pour la finance décentralisée. Il y a quelques jours, 2 protocoles différents ont été victimes de hack dans la même journée. Désormais, c’est la plateforme pump.fun hébergée sur Solana qui a été la cible d’une attaque. Revenons sur le déroulé de cette affaire rocambolesque.
2 millions de dollars dérobés à Pump.fun
Pump.fun est une plateforme qui permet de créer et lancer des jetons sur Solana en un clic. Celle-ci est rapidement devenue le repère des degens à la recherche de la prochaine pépite memecoin. L’engouement autour de la plateforme est tel, que cette dernière génère quotidiennement aux alentours du million de dollars de frais.
Malheureusement, dans l’après-midi du 16 mai, de nombreux observateurs ont relevé des transactions suspectes sur la plateforme Pump.fun.
Rapidement, la thèse du hack est privilégiée et plusieurs estimations émergent, allant de quelques centaines de milliers jusqu’à 8 millions de dollars.
Finalement, aux alentours de 19h, les équipes de Pump.fun ont confirmé l’attaque sur le réseau social X.
« Nous savons que les contrats de la bonding curve de Pump.fun ont été compromis et nous enquêtons sur la question. Nous avons mis à jour les contrats afin que l’attaquant ne puisse plus siphonner de fonds. Le TVL qui figure actuellement dans le protocole est sûr. »
Afin d’assurer la sécurité des fonds restants, le trading a été désactivé sur la plateforme.
En parallèle, le responsable de la recherche pour Wintermute, Igor Igamberdiev a dévoilé que 12 300 SOL avaient été dérobés. Ce qui équivaut à environ 2 millions de dollars au cours actuel.
Détail de l’attaque
Tôt ce matin, les équipes de Pump.fun ont publié un post mortem revenant sur le déroulement de l’attaque.
Ainsi, nous y apprenons que l’attaque a été menée par un ancien employé. Ce dernier aurait profité de sa position dans l’entreprise pour accéder de manière illicite à l’autorité de retrait sur les contrats de la plateforme. En d’autres termes, cela permet à l’attaquant d’interagir directement avec les contrats sans passer par les mécanismes habituels de contrôle ou d’approbation.
Il a ensuite utilisé un flash loan pour emprunter une large quantité de SOL. Avec ces SOL, le hacker a acheté massivement des jetons créés sur la plateforme Pump.fun. L’objectif étant d’atteindre les 100% de leur bonding curve. Pour rappel, cette courbe détermine la relation entre la quantité de jetons en circulation et leur prix.
Une fois les 100% atteint, le hacker a été en mesure d’accéder aux liquidités des jetons et de siphonner les pools.
Une fois l’attaque terminée, il a pu rembourser le flash loan initialement contracté.
Dédommagement
Enfin, les équipes de pump.fun ont annoncé un dédommagement pour les utilisateurs impactés par l’attaque. Ainsi, tous les jetons qui ont atteint les 100%, à savoir ceux qui ont été hacké, seront remis en ligne avec l’intégralité des liquidités qu’ils disposaient avant l’attaque.
De surcroît, les frais de plateforme seront abaissés à 0% pour une semaine afin de dédommager l’ensemble de la communauté.
Cet évènement remettra peut-être la lumière sur l’écosystème memecoin de Solana. En effet, après un boom important en début d’année, l’engouement pour ces memecoins a largement baissé, notamment vis-à-vis du risque que cela implique.