Lỗi Nghiêm Trọng Dẫn Đến Lời Xin Lỗi Từ Pump Science Sau Khi Đổ Bộ Các Token Giả Mạo
Pump Science đã gửi lời xin lỗi đến người dùng sau khi một khóa riêng tư bị rò rỉ trên GitHub cho phép một kẻ tấn công đã biết tạo ra các token giả mạo sử dụng hồ sơ Pump.fun của họ.
Cập nhật (Ngày 28 tháng 11, 21:48 UTC): Bài viết này đã được cập nhật để làm rõ khóa riêng tư nào đã bị xâm phạm và thêm ngữ cảnh về cách các token giả mạo được tạo ra.
Nền tảng khoa học phi tập trung (DeSci) Pump Science đã gửi lời xin lỗi đến người dùng sau khi khóa riêng tư của họ bị rò rỉ trên GitHub. Sự vi phạm này đã cho phép một kẻ tấn công đã biết khai thác hồ sơ Pump.fun để tạo ra các token giả mạo.
"Chúng tôi không muốn giảm nhẹ mức độ nghiêm trọng của sai lầm này, chúng tôi hoàn toàn thừa nhận rằng đây là một vấn đề lớn và một bước đi sai lầm từ phía chúng tôi," Benji Leibowitz từ Pump Science đã phát biểu trong một buổi hỏi đáp (AMA) trên X vào ngày 27 tháng 11.
"Điều này tuyệt đối sẽ không xảy ra lần nữa," ông cam đoan, thêm vào:
"Chúng tôi sẽ không bao giờ phát hành token trên pump.fun nữa."
Trong các bài đăng trước đó trên X vào ngày 25 và 26 tháng 11, Pump Science đã chi tiết cách các khóa riêng tư liên kết với hồ sơ Pump.fun của họ (pscience) đã bị xâm phạm trên GitHub. Điều này đã cho phép tạo ra các token giả mạo mới, chẳng hạn như Urolithin B đến Urolithin E ($URO) và Cocaine ($COKE).
"Đừng tin vào bất kỳ token mới nào được phát hành từ hồ sơ pscience PumpFun," Pump Science cảnh báo.
"Đây không phải do đội ngũ của chúng tôi tạo ra và ví này đã bị xâm phạm."
Sau sự cố, Pump Science đã đổi tên hồ sơ Pump.fun của họ thành "dont_trust" để ngăn chặn việc mua các token giả mạo. Họ cũng đã hợp tác với công ty bảo mật blockchain Blockaid để đánh dấu các token mới được phát hành từ địa chỉ này.
Nguồn: Pump Science
Pump Science phần nào đổ lỗi cho công ty phần mềm dựa trên Solana là BuilderZ, vì đã để lộ khóa riêng tư cho địa chỉ ví offchain "T5j2U…jb8sc" trong mã nguồn GitHub của họ.
Họ tin rằng các khóa riêng tư này không quan trọng vì chúng được liên kết với địa chỉ token offchain được sử dụng để tạo ra các token RIF và URO, theo Pump Science.
Nền tảng DeSci làm rõ rằng kẻ tấn công không thể là BuilderZ vì địa chỉ triển khai token onchain cho các token giả mạo khác với địa chỉ onchain của các token chính thức của Pump Science.
"Địa chỉ tạo token onchain không khớp với địa chỉ onchain đã được sử dụng để tạo ra các token URO và RIF," Pump Science tuyên bố.
Pump Science nghi ngờ rằng cùng một cá nhân hoặc nhóm đã hack ví thuộc sở hữu của James Pacheco, một người sáng lập tại nền tảng token hóa hàng hóa dựa trên Solana là elmnts, có thể chịu trách nhiệm.
Giao thức DeSci thông báo kế hoạch thực hiện một "kiểm toán toàn diện" cho giao diện người dùng và dự định tiến hành một chương trình thưởng bug cho việc kiểm tra thâm nhập giao thức trong các bản phát hành tương lai. Họ cũng đang tìm kiếm các giải pháp cải thiện cho việc quản lý khóa và bảo mật.
"Các token mới sẽ chỉ được phát hành trên Pump Science sau khi chúng tôi đã hoàn thành kiểm toán ứng dụng và các hợp đồng thông minh để đảm bảo Pump Science an toàn. Hy vọng chúng tôi có thể làm điều đó trước kỳ nghỉ lễ."
Nền tảng Pump Science tạo điều kiện giao dịch các token liên quan đến thuốc kéo dài tuổi thọ. Hiện tại, nó chỉ có hai token: Rifampicin (RIF) và Urolithin A (URO), với vốn hóa thị trường lần lượt là 85,6 triệu đô la và 37,2 triệu đô la.
Rifampin được sử dụng để điều trị bệnh lao, trong khi Urolithin A là một chất bổ sung dinh dưỡng điều chỉnh hoạt động của ty thể, cung cấp các lợi ích chống oxy hóa và chống viêm tiềm năng.
Theo Cointelegraph
Tin khác
