Platform sains terdesentralisasi Pump Science telah memperingatkan pengguna tentang token penipuan yang diterapkan melalui akun Pump.fun setelah kunci pribadinya bocor di GitHub.

Menurut pengumuman 27 Nov, penyerang berhasil memperoleh kunci pribadi yang terhubung ke akunnya di Pump.fun melalui kebocoran GitHub, memungkinkan pembuatan token penipuan seperti Urolithin B hingga E (URO) dan Kokain (COKE) di bawah profil Pump Science yang terkompromi.

Platform Pump Science fokus pada penciptaan token yang terkait dengan penelitian obat umur panjang. Proyek ini menggambarkan dirinya sebagai inisiatif penelitian umur panjang yang gamified dan bertujuan untuk menghubungkan pemegang token dengan hak kekayaan intelektual untuk senyawa kimia. Ini memungkinkan pemegang token untuk menjual hak “intervensi” kepada pemasok, mengintegrasikan penelitian dan perdagangan.

Rifampicin (RIF) dan Urolithin A (URO) adalah dua token yang telah diluncurkan oleh proyek tersebut. Rifampicin, antibiotik, digunakan untuk mengobati tuberkulosis, sedangkan Urolithin A dipelajari untuk potensinya dalam meningkatkan fungsi mitokondria dan kesehatan otot. Harga kedua RIF dan URO turun lebih dari 25% setelah eksploitasi.

Pump Science telah menyarankan pengguna untuk menghindari membeli atau berinteraksi dengan token baru yang berasal dari “profil PumpFun pscience,” memperingatkan bahwa penyerang masih memiliki akses ke dompet yang terkompromi.

Anda mungkin juga suka: Binance Labs berinvestasi di platform DeSci BIO Protocol

Berdasarkan laporan pasca serangan, kebocoran terjadi karena kunci pribadi yang terikat pada profil dipublikasikan secara tidak sengaja dalam basis kode GitHub proyek.

Pump Science mengatakan kebocoran tersebut berasal dari kelalaian pihak BuilderZ, pengembangan perangkat lunak berbasis Solana di balik pengembangan proyek, karena meninggalkan kunci pribadi untuk dompet pengembang “T5j2U…jb8sc” dalam basis kode GitHubnya. Perusahaan telah secara keliru mengidentifikasi kunci-kunci tersebut sebagai milik dompet uji dan karenanya menganggapnya “tidak penting.”

“[BuilderZ] meninggalkan kunci pribadi untuk T5j dalam basis kode dengan berpikir bahwa itu bukan dompet pengembang, yang sebenarnya bukan, tetapi ini muncul demikian di http://pump.fun front end karena fitur pembuatan token gratis,” tulis proyek tersebut.

Pump Science telah mengganti nama profil Pump.fun-nya menjadi “dont_trust” dan bekerja sama dengan perusahaan keamanan blockchain Blockaid untuk menandai pencetakan penipuan yang berasal dari alamat yang terkompromi untuk menghindari eksploitasi lebih lanjut.

Untuk mengatasi kekhawatiran keamanan, platform telah berjanji untuk melakukan audit lengkap terhadap sistem front-end-nya dan berencana untuk menjalankan program bug bounty untuk pengujian penetrasi. Selanjutnya, peluncuran token di masa depan hanya akan terjadi setelah audit aplikasi dan kontrak pintar lengkap, dan platform mengonfirmasi bahwa mereka tidak akan lagi meluncurkan token di Pump.fun.

Sementara itu, komunitas telah mengkritik penanganan proyek terhadap pelanggaran tersebut, dengan beberapa pengguna menyebutnya sebagai penipuan dan yang lainnya mempertanyakan kompetensi operasionalnya. Lihat di bawah.

"meninggalkan kunci pribadi dalam basis kode" FML. Proyek ini pantas untuk menjadi nol.

— scudza (🌿,👻) (@Jarred_Za) 26 November 2024

Kebocoran kunci pribadi adalah salah satu penyebab utama pelanggaran keamanan di ruang terdesentralisasi. Perusahaan analitik blockchain CertiK melaporkan bahwa pada Q3 2024, kebocoran semacam itu adalah vektor serangan yang paling mahal kedua, yang mengakibatkan pencurian $324.4 juta di 10 insiden.

Baca lebih lanjut: Pemberitahuan komunitas Pump.fun telah membawa perubahan moderasi yang mendesak