Pump Science, une plateforme de lancement de science décentralisée (DeSci) sur Solana, a divulgué une grave violation de la sécurité impliquant l'une de ses adresses de portefeuille.

La clé privée du portefeuille, identifiée comme T5j2UB…jjb8sc, a été accidentellement exposée par un développeur qui l'a intégrée dans le code de la plateforme.

L'erreur a permis aux attaquants de détourner le portefeuille, entraînant la création non autorisée de tokens liés au profil de Pump Science sur la plateforme Pump.fun.

Création de tokens frauduleux

Dans un post du 26 novembre sur X détaillant l'incident, l'équipe de Pump Science a clarifié que bien que le portefeuille compromis n'ait jamais été destiné au déploiement de tokens, les attaquants l'ont utilisé pour lancer des tokens frauduleux Urolithin A (URO) et Rifampicine (RIF), qu'ils ont ensuite vendus à des utilisateurs sans méfiance.

De plus, l'attaquant a exploité le portefeuille pour manipuler la perception des tokens. Ils ont verrouillé les tokens URO-B dans le portefeuille, donnant l'impression que les développeurs de Pump Science détenaient encore les actifs. Suite à cette manœuvre, ils ont vendu les tokens, laissant les investisseurs en perte.

L'équipe a depuis déclaré que tous les tokens créés via le portefeuille affecté sont des escroqueries. Ils ont également averti la communauté Solana de ne pas interagir avec les actifs, confirmant que le profil Pump.fun du projet ne doit pas être considéré comme fiable pour les nouveaux lancements de tokens jusqu'à nouvel ordre.

« Encore une fois, aucun de ces tokens n'a été lancé par notre équipe. Ces tokens sont frauduleux. Ne faites pas confiance au profil PScience Pump.fun. »

Fait intéressant, une analyse de la blockchain a révélé que bien que les faux tokens semblaient liés au portefeuille T5j, le véritable portefeuille de développeur responsable de la création de tokens légitimes comme l'URO et le RIF était BLDRZQ…36KtuZ. L'équipe de Pump Science a attribué la divergence à des erreurs d'indexation sur Pump.fun, qui ont incorrectement lié les activités des tokens au portefeuille compromis.

Étapes vers la récupération

L'équipe de Pump Science a déclaré qu'elle collabore avec des experts en sécurité et Pump.fun pour traiter l'incident. De plus, elle s'est engagée à auditer minutieusement sa plateforme et les contrats intelligents associés pour prévenir de tels incidents à l'avenir.

D'autres étapes incluent l'arrêt des nouveaux lancements de tokens jusqu'à ce que l'audit soit terminé, seuls ceux explicitement annoncés sur les canaux de médias sociaux officiels du projet étant considérés comme légitimes. L'équipe a également encouragé les utilisateurs à vérifier les origines des tokens à l'aide d'outils blockchain et a promis des mises à jour sur leurs progrès pour sécuriser la plateforme.

Au moment de la rédaction, le token RIF avait enregistré une baisse de 22,4 % de son prix au cours des dernières 24 heures. Sur sept jours, la baisse était encore plus prononcée à 47,7 %, le plaçant près de 72 % en dessous de son prix historique de 0,2478 $, atteint le 18 novembre.

Le destin de l'URO a été plus sévère, plongeant de près de 26 % en 24 heures. Son prix actuel de 0,029 $ est inférieur de 51 % à celui d'il y a une semaine et près de 80 % par rapport à son ATH atteint le même jour que le RIF.

L'article 'La fuite de clé de Pump Science suscite des inquiétudes concernant la fraude sur les tokens' est apparu en premier sur CryptoPotato.