2024-11-29 16:44:36
最近Pump.fun的直播脱序事件也是引发轩然大波,而其中也有Pump在名称里的去中心化科学(DeSci)平台Pump Science近日发生私钥外泄事件,导致诈骗代币泛滥。Pump Science立刻在推特直播向用户道歉并同时宣布处理方案,承诺未来会着重平台安全,避免类似事件重演。
DeSci平台Pump Science专注医疗代币
Pump Science是一个专注于长寿医疗的去中心化科学(DeSci)平台,允许交易与医疗相关的代币。目前Pump Science只有两款官方代币,分别是UrolithinA(URO)和Rifampicin(RIF)。URO代币目前市值为3,320万美元,而RIF代币市值为8,054万美元。
(注:UrolithinA是一种膳食补充品,主要调节粒线体活性,有抗氧化和抗发炎的功用。Rifampicin是一种治疗肺结核的药物。)
私钥外泄,诈骗代币泛滥
Pump Science于11月25至26日在推特表示,自家在Pump.fun的的钱包(地址是T5j2U开头)私钥意外公开在GitHub程式码里,遭到骇客盗用。Pump Science原本以为这是用来测试的小钱包,觉得并不重要所以没特别管。
可问题是,这个地址是T5j2U开头的钱包在Pump.fun被标记成是URO和RIF这两个代币的“创建者”,但其实真正的创建者是另一个地址为BLDRZQ开头的钱包。
Pump Science被盗后马上查看链上交易纪录,发现BLDRZQ是第一个买URO和RIF代币的钱包,导致其他交易平台才会认为BLDRZQ钱包是真正的“代币创建者”。也因为这些资讯不一致,因此忽略了T5j2U钱包的重要性,才让骇客有机会下手,还被骇客用来创建多个诈骗代币像是UrolithinB到UrolithinE($URO)和Cocaine($COKE)等。
Pump Science强调:“这些代币不是我们团队所创建,这个钱包地址已被骇客盗用,不要购买T5j2U钱包所部署的任何新代币。”为防止更多人上当,Pump Science已将自家在Pump.fun帐户名称更改为“dont_trust”,并与区块链安全公司Blockaid合作,标记T5j2U地址的所有新发行的代币活动。
Pump Science亲上火线说明被盗用缘由
官方直言,绝不再用Pump.fun发币
11月27日,Pump Science执行长Benji Leibowitz于推特中直播公开致歉,坦言这是一次重大失误。Leibowitz直言:“我们承认这真的是一个很大的疏忽,非常抱歉,未来绝对不会再使用Pump.fun来发行代币。”
Pump Science执行长亲上火线致歉
BuilderZ疑有部分责任,官方展开调查
Pump Science将部分责任归咎于Solana生态的开发团队BuilderZ,称BuilderZ误将开发者的钱包地址(T5j2U)的私钥放入GitHub,还被误认为是测试钱包的私钥。
接着Pump Science团队开始分析骇客身份并率先表明骇客不太可能是BuilderZ,因为把代币部署到Solana的方式与BuilderZ的机制不同。Pump Science认为骇客更可能是之前入侵过Solana商品代币化平台“elmnts”的创办人James Pacheco钱包的同一伙人。
承诺彻底审查确保安全,目标年底前再度上线
Pump Science也宣布了一系列的处理方案,包含对平台的前端和协议进行完整审查,并推出漏洞悬赏计划(bugbounty),邀请白帽骇客进行渗透测试。此外官方也表示将继续优化私钥管理,以确保安全性。Pump Science承诺,新代币会等到在完成全面审查后才会发行,目标是在年底前让Pump Science平台重新上线。
3345