Pada tanggal 16 Mei, pukul 15:21 UTC, platform pembuatan meme coin, pump.fun, yang merupakan bagian dari ekosistem Solana (SOL), mengalami serangan besar-besaran. Insiden ini menyebabkan kerugian sekitar 12.300 SOL, yang setara dengan hampir $2 juta menurut harga pasar saat ini.
Penyerang berhasil memanipulasi platform dengan menggunakan pinjaman kilat (flash loans) dari Margin.fi untuk memperoleh SOL dan membeli token pump.fun tanpa menggunakan dana mereka sendiri. Eksploitasi ini mengejutkan komunitas kripto dan menimbulkan kekhawatiran tentang keamanan dalam ekosistem Solana.
Dari Orang Dalam Menjadi Penyerang: Pelanggaran Keamanan Pump.fun
Serangan ini pertama kali terdeteksi melalui alamat dompet 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP. Penyerang berhasil membeli semua token dari proyek baru yang diluncurkan di platform ini dalam hitungan menit, menyebabkan kurva bonding mencapai batasnya.
Dalam dunia keuangan terdesentralisasi (DeFi), kurva bonding adalah smart contract yang menciptakan pasar untuk token tanpa perlu bergantung pada bursa kripto tradisional. Manipulasi ini mencegah token terdaftar di Raydium DEX, sebuah bursa terdesentralisasi di Solana, sehingga merusak mekanisme pasar yang telah diatur.
Tanggapan Pump.fun dan Langkah Pemulihan
Menanggapi serangan ini, pump.fun segera memperbarui kontrak mereka untuk mencegah eksploitasi lebih lanjut. Selain itu, tim pump.fun menghentikan sementara perdagangan dan meyakinkan pengguna bahwa total nilai yang terkunci (TVL) dalam protokol ini tetap aman.
“Kami berkomitmen untuk memastikan keamanan pengguna kami dan bekerja sama dengan pihak terkait, termasuk penegak hukum, untuk meminimalkan kerugian,” ujar tim pump.fun dalam sebuah pernyataan resmi.
Motif Penyerang: Mantan Karyawan yang Kecewa
Ternyata, penyerang adalah mantan karyawan pump.fun yang dikenal dengan nama samaran STACCOverflow, atau Jarrett. Melalui media sosial, Jarrett menyatakan ketidakpuasannya terhadap perusahaan dan menyebutkan niatnya untuk mengganggu platform tersebut.
“Bos yang buruk adalah mereka yang melihat tanganmu terluka, bertanya apa yang terjadi, dan ketika kamu bilang meja kaca yang melukai, mereka malah bertanya ‘apakah mejanya baik-baik saja?’ Itu bukan tipe orang yang layak menjadi wajah blockchain,” tulis Jarrett setelah serangan tersebut.
Jarrett menjelaskan bahwa dia memiliki rencana untuk “mengubah jalannya sejarah” dan tidak khawatir akan kemungkinan masuk penjara. Dia juga menyatakan akan mendistribusikan hasil jarahannya melalui airdrop ke berbagai komunitas, termasuk Slerf, Stacc, Saga, dan Risklol. Karena tindakannya ini, beberapa anggota komunitas kripto menjulukinya sebagai “Robinhood Web3.”
Langkah Pemulihan dan Masa Depan Pump.fun
Sekitar lima jam setelah pengumuman awal, pump.fun merilis laporan pasca kejadian. Mereka mengerahkan kembali kontrak dan melanjutkan perdagangan dengan biaya 0% selama tujuh hari ke depan. Pump.fun juga berkomitmen untuk menambahkan likuiditas ke dalam liquidity pools (LPs) untuk koin yang terdampak guna memulihkan fungsi perdagangan.
“Koin yang mencapai 100% antara pukul 15:21 – 17:00 UTC berada dalam limbo, artinya tidak ada yang bisa memperdagangkannya sampai LPs dikerahkan untuk mereka di Raydium. Untuk memastikan pengguna tidak dirugikan, tim pump.fun akan menambahkan likuiditas ke LPs setiap koin yang terdampak dengan jumlah SOL yang sama atau lebih besar dari yang dimiliki koin pada pukul 15:21 UTC dalam 24 jam ke depan. […] Solana sh*tcoins kembali, dan lebih besar dari sebelumnya,” tulis tim pump.fun.
Meskipun pump.fun mengklaim telah kembali, komunitas kripto harus tetap waspada. Beberapa penipu mencoba memanfaatkan insiden ini dengan menyamar sebagai tim pump.fun dan menyebarkan tautan berbahaya yang mengklaim sebagai tautan penggantian.
Kejadian ini menjadi pengingat penting bagi semua pihak dalam ekosistem kripto tentang pentingnya keamanan dan kewaspadaan terhadap potensi ancaman, baik dari luar maupun dari dalam.