Децентралізована наукова платформа Pump Science попередила користувачів про шахрайські токени, розгорнуті через свій акаунт Pump.fun після витоку приватного ключа на GitHub.
Згідно з оголошенням від 27 листопада, зловмисник зміг отримати приватні ключі, пов'язані з його акаунтом на Pump.fun, через витік на GitHub, що дозволило створити шахрайські токени, такі як Уролітин B до E (URO) та Кокаїн (COKE) під компрометованим профілем Pump Science.
Платформа Pump Science зосереджена на створенні токенів, пов'язаних з дослідженнями медицини довголіття. Проект описує себе як ігрофіковану ініціативу дослідження довголіття та має на меті зв'язати власників токенів з правами інтелектуальної власності на хімічні сполуки. Це дозволяє власникам токенів продавати права на “втручання” постачальникам, інтегруючи дослідження і торгівлю.
Рифампіцин (RIF) та Уролітин А (URO) - єдині два токени, які запустив проект. Рифампіцин, антибіотик, використовується для лікування туберкульозу, тоді як Уролітин А вивчається на предмет його потенціалу покращувати мітохондріальну функцію та здоров'я м'язів. Ціни на обидва RIF та URO впали більш ніж на 25% після експлуатації.
Pump Science порадила користувачам уникати купівлі або взаємодії з будь-якими новими токенами, що походять з профілю “pscience PumpFun”, попереджаючи, що зловмисник все ще має доступ до компрометованого гаманця.
Вам також може сподобатися: Binance Labs інвестує в платформу DeSci BIO Protocol
На основі звіту після атаки, витік стався через те, що приватні ключі, пов'язані з профілем, були випадково опубліковані в кодовій базі проекту на GitHub.
Pump Science заявила, що витік стався через недогляд з боку BuilderZ, розробки програмного забезпечення на базі Solana, за залишення приватного ключа для гаманця розробника “T5j2U…jb8sc” у своїй кодовій базі на GitHub. Компанія помилково ідентифікувала ключі як такі, що належать тестовому гаманцю, і тому вважала їх “неважливими.”
“[BuilderZ] залишив приватний ключ до T5j у кодовій базі, думаючи, що це не гаманець розробника, чим не був, але це з'явилося так на фронтенді http://pump.fun через функцію безкоштовного створення токенів,” написав проект.
Pump Science перейменував свій профіль Pump.fun у “dont_trust” і співпрацює з компанією Blockaid з безпеки блокчейну, щоб позначити шахрайські випуски, що походять з компрометованої адреси, щоб уникнути подальшої експлуатації.
Щоб вирішити проблеми безпеки, платформа пообіцяла провести повний аудит своєї фронтенд-системи та планує проводити програми винагород за виявлення помилок для тестування на проникнення. Крім того, майбутні запуски токенів відбуватимуться лише після повного аудиту додатку та смарт-контрактів, а платформа підтвердила, що більше не буде запускати токени на Pump.fun.
Тим часом спільнота критикує управління проектом щодо порушення, деякі користувачі називають це шахрайством, а інші ставлять під сумнів його операційну компетентність. Дивіться нижче.
"залишив приватний ключ у кодовій базі" FML. Проект заслуговує на нуль.
— scudza (🌿,👻) (@Jarred_Za) 26 листопада 2024
Витоки приватних ключів є однією з основних причин порушень безпеки в децентралізованому просторі. Компанія з аналітики блокчейн CertiK повідомила, що у третьому кварталі 2024 року такі витоки стали другим найвитратнішим вектором атаки, в результаті чого було вкрадено 324,4 мільйона доларів у 10 інцидентах.
Детальніше: Повідомлення спільноти Pump.fun призвело до термінових змін у модерації