分散型科学プラットフォームPump Scienceは、GitHubで秘密鍵が漏洩した後、Pump.funアカウントを通じて展開された詐欺トークンについてユーザーに警告しました。
11月27日の発表によると、攻撃者はGitHubの漏洩を通じてPump.fun上のアカウントにリンクされた秘密鍵を取得し、Pump Scienceの侵害されたプロファイルの下でウロリチンBからE(URO)およびコカイン(COKE)などの詐欺的トークンを作成することを可能にしました。
Pump Scienceのプラットフォームは、長寿医学研究に関連したトークンの作成に焦点を当てています。プロジェクトは、ゲーミフィケーションされた長寿研究イニシアティブとして自らを説明し、トークン保有者を化学化合物の知的財産権と結びつけることを目的としています。トークン保有者は、供給者に「介入」権を販売でき、研究と商取引を統合しています。
リファンピシン(RIF)とウロリチンA(URO)は、プロジェクトが立ち上げた唯一の2つのトークンです。リファンピンは抗生物質で、結核の治療に使用され、ウロリチンAはミトコンドリア機能と筋肉の健康を向上させる可能性が研究されています。RIFとUROの価格は、ハッキングの後に25%以上下落しました。
Pump Scienceは、ユーザーに「pscience PumpFunプロファイル」から発信される新しいトークンの購入や相互作用を避けるように勧告し、攻撃者が依然として侵害されたウォレットにアクセスできることを警告しました。
あなたも好きかもしれません:バイナンスラボがDeSciプラットフォームBIOプロトコルに投資
攻撃後の報告に基づくと、漏洩はプロファイルに関連付けられた秘密鍵がプロジェクトのGitHubコードベースで偶然公開されたことによるものでした。
Pump Scienceは、漏洩はプロジェクトの開発後ろにあるSolanaベースのソフトウェア開発者BuilderZの過失から生じたものであり、開発者ウォレット「T5j2U…jb8sc」の秘密鍵をGitHubコードベースに残したためだと述べました。同社は、これらの鍵をテストウォレットに属すると誤って特定し、「重要でない」と考えていました。
「[BuilderZ]は、T5jへの秘密鍵をコードベースに残しましたが、それは開発者ウォレットではないと思っていましたが、実際にはそうではありませんでした。しかし、これはhttp://pump.funのフロントエンドで無料トークン作成機能によりそう見えました」とプロジェクトは書いています。
Pump Scienceは、そのPump.funプロファイルの名前を「dont_trust」に変更し、ブロックチェーンセキュリティ企業Blockaidと協力して、侵害されたアドレスから発生した詐欺的ミントをフラグ付けしてさらなる悪用を避けることを目指しています。
セキュリティの懸念に対処するために、プラットフォームはフロントエンドシステムの完全な監査を行うことを誓い、ペネトレーションテストのためのバグバウンティプログラムを実施する計画です。さらに、将来のトークンの立ち上げは、アプリとスマートコントラクトの完全な監査が完了した後にのみ行われ、プラットフォームはもはやPump.funでトークンを立ち上げないことを確認しました。
一方、コミュニティはこの侵害に対するプロジェクトの対応を批判しており、一部のユーザーはそれを詐欺と呼び、他のユーザーはその運営能力に疑問を呈しています。以下をご覧ください。
"コードベースに秘密鍵を残した" FML。プロジェクトはゼロに行くに値します。
— scudza (🌿,👻) (@Jarred_Za) 2024年11月26日
秘密鍵の漏洩は、分散型スペースにおけるセキュリティ侵害の主な原因の一つです。ブロックチェーン分析企業CertiKは、2024年第3四半期に、これらの漏洩が2番目に高コストな攻撃ベクターであり、10件の事件で324.4百万ドルが盗まれたと報告しました。
続きを読む:Pump.funのコミュニティ通知が緊急のモデレーション変更をもたらしました