Die dezentrale Wissenschaftsplattform Pump Science hat Benutzer vor betrügerischen Token gewarnt, die über ihr Pump.fun-Konto bereitgestellt wurden, nachdem ihr privater Schlüssel auf GitHub geleakt wurde.
Laut einer Ankündigung vom 27. November gelang es dem Angreifer, private Schlüssel zu seinem Konto auf Pump.fun durch einen GitHub-Leak zu erwerben, was die Erstellung von betrügerischen Token wie Urolithin B bis E (URO) und Cocaine (COKE) unter dem kompromittierten Profil von Pump Science ermöglichte.
Die Plattform von Pump Science konzentriert sich auf die Erstellung von Token, die mit der Forschung zur Langlebigkeit in der Medizin verbunden sind. Das Projekt beschreibt sich selbst als eine gamifizierte Forschungsinitiative zur Langlebigkeit und zielt darauf ab, Token-Inhaber mit geistigen Eigentumsrechten an chemischen Verbindungen zu verbinden. Es ermöglicht Token-Inhabern, „Interventionsrechte“ an Anbieter zu verkaufen, wodurch Forschung und Handel integriert werden.
Rifampicin (RIF) und Urolithin A (URO) sind die einzigen beiden Token, die das Projekt gestartet hat. Rifampicin, ein Antibiotikum, wird zur Behandlung von Tuberkulose eingesetzt, während Urolithin A auf sein Potenzial zur Verbesserung der mitochondrialen Funktion und der Muskelgesundheit untersucht wird. Die Preise von RIF und URO fielen nach dem Exploit um über 25%.
Pump Science hat die Benutzer beraten, den Kauf oder die Interaktion mit neuen Token zu vermeiden, die aus dem „pscience PumpFun-Profil“ stammen, und gewarnt, dass der Angreifer weiterhin Zugriff auf das kompromittierte Wallet hat.
Das könnte Ihnen auch gefallen: Binance Labs investiert in die DeSci-Plattform BIO Protocol
Basierend auf dem Bericht nach dem Angriff trat der Leak auf, weil private Schlüssel, die mit dem Profil verbunden sind, versehentlich im GitHub-Code des Projekts veröffentlicht wurden.
Pump Science sagte, der Leak sei auf ein Versehen von BuilderZ, der solana-basierten Softwareentwicklung hinter dem Projekt, zurückzuführen, die den privaten Schlüssel für das Entwickler-Wallet „T5j2U…jb8sc“ in ihrem GitHub-Code hinterlassen hatte. Das Unternehmen hatte die Schlüssel fälschlicherweise als zu einem Test-Wallet gehörend identifiziert und daher als „unwichtig“ angesehen.
„[BuilderZ] ließ den privaten Schlüssel zu T5j im Code hinter, in der Annahme, es handele sich nicht um das Entwickler-Wallet, was es nicht war, aber so erschien es auf der http://pump.fun-Website aufgrund der Funktion zur Erstellung kostenloser Token“, schrieb das Projekt.
Pump Science hat sein Pump.fun-Profil in „dont_trust“ umbenannt und arbeitet mit der Blockchain-Sicherheitsfirma Blockaid zusammen, um betrügerische Mint-Vorgänge, die von der kompromittierten Adresse ausgehen, zu kennzeichnen, um weitere Ausbeutung zu vermeiden.
Um Sicherheitsbedenken auszuräumen, hat die Plattform versprochen, eine vollständige Überprüfung ihres Front-End-Systems durchzuführen und plant, Bug-Bounty-Programme für Penetrationstests durchzuführen. Darüber hinaus werden zukünftige Token-Starts nur nach vollständigen App- und Smart-Contract-Audits erfolgen, und die Plattform bestätigte, dass sie keine Token mehr auf Pump.fun starten wird.
In der Zwischenzeit hat die Community das Management des Vorfalls durch das Projekt kritisiert, wobei einige Benutzer es als Betrug bezeichneten und andere dessen operative Kompetenz in Frage stellten. Siehe unten.
"ließ den privaten Schlüssel im Code" FML. Das Projekt verdient es, auf null zu gehen.
— scudza (🌿,👻) (@Jarred_Za) 26. November 2024
Lecks privater Schlüssel gehören zu den häufigsten Ursachen für Sicherheitsverletzungen im dezentralen Raum. Das Blockchain-Analyseunternehmen CertiK berichtete, dass diese Lecks im 3. Quartal 2024 die zweitteuerste Angriffsart waren, was zu einem Diebstahl von 324,4 Millionen Dollar in 10 Vorfällen führte.
Mehr erfahren: Die Community-Ankündigung von Pump.fun hat dringende Moderationsänderungen mit sich gebracht