Nền tảng khoa học phi tập trung Pump Science đã cảnh báo người dùng về các mã thông báo giả mạo được triển khai thông qua tài khoản Pump.fun của mình sau khi khóa riêng của nó bị rò rỉ trên GitHub.

Theo thông báo ngày 27 tháng 11, kẻ tấn công đã quản lý để thu được các khóa riêng liên kết với tài khoản của mình trên Pump.fun thông qua một vụ rò rỉ trên GitHub, cho phép tạo ra các mã thông báo giả mạo như Urolithin B đến E (URO) và Cocaine (COKE) dưới hồ sơ bị xâm phạm của Pump Science.

Nền tảng của Pump Science tập trung vào việc tạo ra các mã thông báo liên quan đến nghiên cứu y học về tuổi thọ. Dự án mô tả mình là một sáng kiến nghiên cứu tuổi thọ gamified và nhằm mục đích kết nối các chủ sở hữu mã thông báo với quyền sở hữu trí tuệ cho các hợp chất hóa học. Nó cho phép các chủ sở hữu mã thông báo bán quyền “can thiệp” cho các nhà cung cấp, tích hợp nghiên cứu và thương mại.

Rifampicin (RIF) và Urolithin A (URO) là hai mã thông báo duy nhất mà dự án đã phát hành. Rifampin, một loại kháng sinh, được sử dụng để điều trị lao phổi, trong khi Urolithin A được nghiên cứu về khả năng cải thiện chức năng ty thể và sức khỏe cơ bắp. Giá của cả RIF và URO đã giảm hơn 25% sau vụ khai thác.

Pump Science đã khuyên người dùng tránh mua hoặc tương tác với bất kỳ mã thông báo mới nào xuất phát từ “hồ sơ pscience PumpFun,” cảnh báo rằng kẻ tấn công vẫn có quyền truy cập vào ví bị xâm phạm.

Bạn cũng có thể thích: Binance Labs đầu tư vào nền tảng DeSci BIO Protocol

Dựa trên báo cáo sau cuộc tấn công, việc rò rỉ xảy ra do các khóa riêng gắn liền với hồ sơ bị công bố vô tình trong mã nguồn GitHub của dự án.

Pump Science cho biết việc rò rỉ bắt nguồn từ sự sơ suất của BuilderZ, một phát triển phần mềm dựa trên Solana đứng sau sự phát triển của dự án, khi để lại khóa riêng cho ví nhà phát triển “T5j2U…jb8sc” trong mã nguồn GitHub của mình. Công ty đã nhầm lẫn xác định các khóa này thuộc về một ví thử nghiệm và do đó đã xem xét nó là “không quan trọng.”

“[BuilderZ] đã để lại khóa riêng cho T5j trong mã nguồn do nghĩ rằng đó không phải là ví của nhà phát triển, mà thực ra không phải, nhưng điều này đã xuất hiện như vậy trên giao diện http://pump.fun do tính năng tạo mã thông báo miễn phí,” dự án viết.

Pump Science đã đổi tên hồ sơ Pump.fun của mình thành “dont_trust” và đang hợp tác với công ty an ninh blockchain Blockaid để đánh dấu các mint giả mạo xuất phát từ địa chỉ bị xâm phạm nhằm tránh khai thác thêm.

Để giải quyết các mối quan ngại về an ninh, nền tảng đã hứa sẽ tiến hành kiểm toán hoàn toàn hệ thống front-end của mình và có kế hoạch thực hiện các chương trình thưởng lỗi cho kiểm tra xâm nhập. Hơn nữa, các phát hành mã thông báo trong tương lai sẽ chỉ diễn ra sau khi hoàn thành kiểm toán ứng dụng và hợp đồng thông minh, và nền tảng xác nhận rằng sẽ không còn phát hành mã thông báo trên Pump.fun.

Trong khi đó, cộng đồng đã chỉ trích cách xử lý vụ vi phạm của dự án, với một số người dùng gán cho nó là một trò lừa đảo và những người khác nghi ngờ về khả năng vận hành của nó. Xem bên dưới.

"để lại khóa riêng trong mã nguồn" FML. Dự án xứng đáng đi về con số không.

— scudza (🌿,👻) (@Jarred_Za) Ngày 26 tháng 11 năm 2024

Việc rò rỉ khóa riêng là một trong những nguyên nhân hàng đầu gây ra các vụ vi phạm an ninh trong không gian phi tập trung. Công ty phân tích blockchain CertiK báo cáo rằng trong quý 3 năm 2024, những vụ rò rỉ như vậy là vector tấn công tốn kém thứ hai, dẫn đến việc 324,4 triệu đô la bị đánh cắp qua 10 sự cố.

Đọc thêm: Thông báo cộng đồng của Pump.fun đã mang lại những thay đổi kiểm duyệt khẩn cấp