前员工掌握「被黑账户」私钥，团队管理不当是首要原因。

撰文：Charlemagne

编译：加密韋馱

Pump 被盗事件懒人包，感谢 @0x_charlemagne 老哥对事故原因的精彩分析，这里进行翻译并加上我一点个人推测。

攻击怎么进行？

首先这个攻击者 @STACCoverflow 并不是一个牛逼的黑客大神，而应该是 @pumpdotfun 的前员工。他拥有 Pump 用于创建每个土狗 Raydium 交易对这个功能权限的钱包账户，我们称之为「被黑账户」。而 Pump 上创建的土狗在没达到上 Raydium 标准前的所有 Bonding Curve LP 底池我们称为「预备账户」。

攻击者通过 @marginfi 借了一笔闪电贷来把所有已创建但是未被填满到可以上 Raydium 状态的池子全部填满。原本这时会发生的操作是本来存在虚拟池「预备账户」中里的 $Sol 因为达到了上 Raydium 的标准会被转入这个「被黑账户」。但此时攻击者抽走了转入进来的 $Sol，让这些本应该上 Raydium 并锁池子的 memecoin 都无法上 Raydium( 因为池子没钱）

那么，到底攻击者黑了谁的钱？

对此 @0x_charlemagne 老哥解释道：

首先肯定不是 @marginfi 的。因为闪电贷的钱在同区块归还，它的用途只是为了触发预备账户向被黑账户转钱这一个操作，不会损失

其次以往已经发到 Raydium 的土狗因为 LP 已经锁了，应该是不受影响 ( 个人推测 )

倒霉的应该是在这一攻击发生之前，整个 Pump 里所有尚未被填满的池子中，所有买进来了的用户，他们的 $Sol 都被上述攻击转走了。这也就解释了为什么说受损可能到 $80M 这么多（注：据最新信息，损失金额约为 200 万美元）。

为什么攻击者会有这个「被黑账户」私钥？

首先肯定是团队的管理不当，这个没得洗，跟 Blast 那个朝鲜爱国网络开发将领一样。

其次，我们可以猜测一下，这个填满池子可能本身就是这个攻击者之前的工作之一。就好比 Friendtech V1 去年 launch 的时候，有大量抢买你 key 的机器人，在最初的几天，大概率就是官方自己的，起到给 Key 做市，用于引导最初热度的作用。

可以大胆推测，当时 Pump 为了能做最初的冷启动，让攻击者负责用项目自己的钱去填发的币的池子（估计多数是自己发的，比如 $test $alon ) 让他们上 Raydium 然后拉盘制造关注度。只是没想到最后会成为内鬼的钥匙。

经验教训

首先，仿盘们一定要注意，不要傻傻只抄个皮毛，意味做好了产品放在那里就有人来交易了。搞互助盘你得提供一个初始推力。

然后一定要做好权限管理，注意安全。