La plataforma de ciencia descentralizada Pump Science ha advertido a los usuarios sobre tokens fraudulentos desplegados a través de su cuenta Pump.fun después de que su clave privada fuera filtrada en GitHub.

Según un anuncio del 27 de noviembre, el atacante logró adquirir claves privadas vinculadas a su cuenta en Pump.fun a través de una filtración de GitHub, lo que permitió la creación de tokens fraudulentos como Urolitina B hasta E (URO) y Cocaína (COKE) bajo el perfil comprometido de Pump Science.

La plataforma de Pump Science se centra en crear tokens vinculados a la investigación en medicina de longevidad. El proyecto se describe a sí mismo como una iniciativa de investigación de longevidad gamificada y tiene como objetivo conectar a los poseedores de tokens con derechos de propiedad intelectual sobre compuestos químicos. Permite a los poseedores de tokens vender derechos de "intervención" a proveedores, integrando investigación y comercio.

Rifampicina (RIF) y Urolitina A (URO) son los únicos dos tokens que el proyecto ha lanzado. La rifampicina, un antibiótico, se utiliza para tratar la tuberculosis, mientras que la Urolitina A se estudia por su potencial para mejorar la función mitocondrial y la salud muscular. Los precios de ambos RIF y URO cayeron más del 25% tras la explotación.

Pump Science ha aconsejado a los usuarios evitar comprar o interactuar con cualquier nuevo token que provenga del perfil "pscience PumpFun", advirtiendo que el atacante aún tiene acceso a la billetera comprometida.

También te puede gustar: Binance Labs invierte en la plataforma DeSci BIO Protocol

Según el informe posterior al ataque, la filtración ocurrió debido a que las claves privadas vinculadas al perfil se publicaron inadvertidamente en la base de código de GitHub del proyecto.

Pump Science dijo que la filtración se debió a un descuido por parte de BuilderZ, un desarrollo de software basado en Solana detrás del desarrollo del proyecto, por dejar la clave privada de la billetera del desarrollador "T5j2U…jb8sc" en su base de código de GitHub. La firma había identificado erróneamente las claves como pertenecientes a una billetera de prueba y, por lo tanto, la consideró "no importante".

"[BuilderZ] dejó la clave privada de T5j en la base de código pensando que no era la billetera del desarrollador, lo cual no era, pero esto apareció así en el front end de http://pump.fun debido a la función de creación de tokens gratuitos," escribió el proyecto.

Pump Science ha renombrado su perfil de Pump.fun a "dont_trust" y está colaborando con la firma de seguridad blockchain Blockaid para marcar acuñaciones fraudulentas que provengan de la dirección comprometida para evitar más explotación.

Para abordar las preocupaciones de seguridad, la plataforma se ha comprometido a realizar una auditoría completa de su sistema de front-end y planea ejecutar programas de recompensas por errores para pruebas de penetración. Además, los futuros lanzamientos de tokens solo ocurrirán después de auditorías completas de aplicaciones y contratos inteligentes, y la plataforma confirmó que ya no lanzará tokens en Pump.fun.

Mientras tanto, la comunidad ha criticado la gestión de la brecha por parte del proyecto, con algunos usuarios etiquetándolo como una estafa y otros cuestionando su competencia operativa. Ver abajo.

"dejó la clave privada en la base de código" MFL. El proyecto merece irse a cero.

— scudza (🌿,👻) (@Jarred_Za) 26 de noviembre de 2024

Las filtraciones de claves privadas están entre las principales causas de violaciones de seguridad en el espacio descentralizado. La firma de análisis de blockchain CertiK informó que en el tercer trimestre de 2024, tales filtraciones fueron el segundo vector de ataque más costoso, resultando en $324.4 millones robados en 10 incidentes.

Leer más: El aviso de la comunidad de Pump.fun ha traído cambios urgentes de moderación