DeSci項目泵科學在私鑰洩露後遭受黑客攻擊
DeSci項目泵科學是一個專注於遊戲化長壽研究的去中心化科學(DeSci)平台,當其私鑰在GitHub代碼庫中被意外曝光時,遭受了一次重大安全漏洞。
這個關鍵的疏忽使攻擊者得以控制其官方Pump.fun加密錢包,劫持其資料檔案,並在該平台名義下鑄造欺詐代幣。
最初,Pump Science使用其Pump.fun資料檔案來推出兩個合法代幣,Urolithin A($URO)和Rifampicin($RIF),這些代幣與其長壽研究計劃相關聯。
然而,在錢包地址“T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc”的私鑰曝光後,攻擊者利用這個漏洞鑄造了未經授權的代幣,包括Urolithin B到E和Cocaine($COKE)。
這些欺詐代幣誤導了用戶認為它們是合法的產品。
結果,真實代幣的價格下跌了超過25%,反映出社區信任和信心急劇下降。
Pump Science私鑰洩露:疏忽還是錯誤?
根據團隊的報告,這次洩露源於Solana開發團隊BuilderZ對Pump Science的疏忽。
開發人員不慎將錢包的私鑰留在GitHub存儲庫中,將其誤認為測試錢包。
這個錯誤使私鑰公開可訪問,攻擊者利用這個疏忽來接管錢包及其相關的Pump.fun資料檔案。
儘管該錢包最初並不打算作為開發人員的主要錢包,但Pump.fun的免費代幣創建功能將其錯誤地與平台的官方資料檔案鏈接起來,使欺詐代幣看起來合法。
攻擊者利用其對錢包的訪問權限創建了看似來自Pump Science的假代幣。
為應對此問題,Pump Science發出警告,敦促用戶避免與在其Pump.fun資料檔案或相關錢包地址下創建的任何新代幣互動。
為了防止進一步的利用,該平台將其Pump.fun資料檔案更名為“@dont_trust”。
它與區塊鏈安全公司Blockaid合作,標記從受影響地址發起的未經授權的代幣鑄造和交易。
儘管採取了這些措施,攻擊者仍控制著錢包,並繼續創建欺詐代幣。
Pump Science受到社區的嚴厲批評,用戶指責該項目疏忽大意,並對缺乏足夠的預防措施表示沮喪。
一些人甚至將該項目指責為詐騙,並以安全漏洞作為更深層次無能的證據。
重建信任和解決弱點
在這次黑客攻擊之後,Pump Science承諾對其安全協議進行全面檢查。
該平台計劃審核其前端系統和Solana程序,以識別和解決弱點。
它還承諾舉辦競爭性審計並啟動漏洞賞金計劃,以確保其基礎設施的堅固性。
此外,Pump Science宣布在其系統完全安全並通過全面審計獨立驗證之前,將不會推出任何新代幣。
這一事件是去中心化金融(DeFi)生態系統面臨的更廣泛挑戰的一部分,特別是對於嚴格的私鑰管理的需求。
根據區塊鏈分析公司CertiK的最新報告,私鑰洩露在2024年第三季度的十起事件中造成超過3.24億美元的損失。
本月早些時候,加密賭場平台Metawin也在11月3日遭受了400萬美元的黑客攻擊,由於私鑰洩露,資金從其以太坊和Solana熱錢包中被盜。
被盜資金已被追踪到KuCoin和HitBTC的嵌套服務,而攻擊者的身份和動機仍然不明。