Pump Science是一个基于Solana的去中心化科学(DeSci)发行平台,已披露其一个钱包地址存在严重的安全漏洞。
钱包的私钥,识别为T5j2UB…jjb8sc,被一名开发者不小心暴露在平台的代码库中。
该错误使攻击者能够劫持该钱包,导致与Pump Science在Pump.fun平台上的档案相关的代币未经授权地创建。
诈骗性代币创建
在11月26日于X上发布的帖子中,Pump Science团队澄清说,虽然被入侵的钱包从未打算用于代币发行,但攻击者使用它来推出虚假的Urolithin A (URO)和Rifampicin (RIF)代币,随后将其出售给毫不知情的用户。
此外,攻击者利用这个钱包操纵代币的感知。他们将URO-B代币锁定在钱包中,使其看起来像Pump Science的开发者仍然持有这些资产。随后,他们出售了这些代币,让投资者蒙受损失。
该团队随后宣布,通过受影响的钱包创建的所有代币均为诈骗。他们还警告Solana社区不要参与这些资产,确认该项目的Pump.fun档案在进一步通知之前不应被信任用于新的代币发行。
“再次声明,这些代币均非由我们团队发行。这些代币是诈骗的。请不要信任PScience Pump.fun档案。”
有趣的是,区块链分析显示,虽然这些虚假代币似乎与T5j钱包相关,但实际上负责创建合法代币如URO和RIF的开发者钱包是BLDRZQ…36KtuZ。Pump Science团队将这一差异归因于Pump.fun上的索引错误,该错误不正确地将代币活动连结到被入侵的钱包。
恢复的步骤
Pump Science团队表示,正在与安全专家和Pump.fun合作以应对此次事件。此外,团队还承诺将彻底审计其平台及相关智能合约,以防止未来再次发生此类事件。
进一步的措施包括在审计完成之前暂停新的代币发行,只有在项目的官方社交媒体渠道上明确公告的代币才被视为合法。团队还鼓励用户使用区块链工具验证代币来源,并承诺会更新有关保护平台进展的消息。
在撰写本文时,RIF代币在过去24小时内的价格已录得22.4%的下跌。在七天内,跌幅更加明显,达到47.7%,将其价格压至历史最高价0.2478美元的近72%以下,该价格是在11月18日创下的。
URO的命运更加严重,在24小时内暴跌近26%。目前的价格为0.029美元,比一周前低51%,比与RIF同日创下的历史最高价低近80%。
Pump Science密钥泄漏引发代币诈骗担忧的帖子首次出现在CryptoPotato上。
