最近 Pump.fun 的直播脱序事件也是引发轩然大波,而其中也有 Pump 在名称里的去中心化科学 (DeSci) 平台 Pump Science 近日发生私钥外泄事件,导致诈骗代币泛滥。Pump Science 立刻在推特直播向用户道歉并同时宣布处理方案,承诺未来会着重平台安全,避免类似事件重演。
Table of Contents
ToggleDeSci 平台 Pump Science 专注医疗代币
Pump Science 是一个专注於长寿医疗的去中心化科学 (DeSci) 平台,允许交易与医疗相关的代币。目前 Pump Science 只有两款官方代币,分别是 Urolithin A (URO) 和 Rifampicin (RIF)。URO 代币目前市值为 3,320 万美元,而 RIF 代币市值为 8,054 万美元。
(注: Urolithin A 是一种膳食补充品,主要调节粒线体活性,有抗氧化和抗发炎的功用。Rifampicin 是一种治疗肺结核的药物。)
广告 – 内文未完请往下卷动私钥外泄,诈骗代币泛滥
Pump Science 於 11 月 25 至 26 日在推特表示,自家在 Pump.fun 的的钱包 (地址是 T5j2U 开头) 私钥意外公开在 GitHub 程式码里,遭到骇客盗用。Pump Science 原本以为这是用来测试的小钱包 ,觉得并不重要所以没特别管。
可问题是,这个地址是 T5j2U 开头的钱包在 Pump.fun 被标记成是 URO 和 RIF 这两个代币的「创建者」,但其实真正的创建者是另一个地址为 BLDRZQ 开头的钱包 。
Pump Science 被盗後马上查看链上交易纪录,发现 BLDRZQ 是第一个买 URO 和 RIF 代币的钱包 ,导致其他交易平台才会认为 BLDRZQ 钱包是真正的「代币创建者」。也因为这些资讯不一致,因此忽略了 T5j2U 钱包的重要性,才让骇客有机会下手,还被骇客用来创建多个诈骗代币像是 Urolithin B 到 Urolithin E ($URO) 和 Cocaine ($COKE) 等。
Pump Science 强调:「这些代币不是我们团队所创建,这个钱包地址已被骇客盗用,不要购买 T5j2U 钱包所部署的任何新代币。」为防止更多人上当,Pump Science 已将自家在 Pump.fun 帐户名称更改为「dont_trust」,并与区块链安全公司 Blockaid 合作,标记 T5j2U 地址的所有新发行的代币活动。
官方直言,绝不再用 Pump.fun 发币
11 月 27 日,Pump Science 执行长 Benji Leibowitz 於推特中直播公开致歉,坦言这是一次重大失误。Leibowitz 直言:「我们承认这真的是一个很大的疏忽,非常抱歉,未来绝对不会再使用 Pump.fun 来发行代币。」
BuilderZ 疑有部分责任,官方展开调查
Pump Science 将部分责任归咎於 Solana 生态的开发团队 BuilderZ,称 BuilderZ 误将开发者的钱包地址 (T5j2U) 的私钥放入 GitHub,还被误认为是测试钱包的私钥。
接着 Pump Science 团队开始分析骇客身份并率先表明骇客不太可能是 BuilderZ,因为把代币部署到 Solana 的方式与 BuilderZ 的机制不同。Pump Science 认为骇客更可能是之前入侵过 Solana 商品代币化平台「elmnts」的创办人 James Pacheco 钱包的同一夥人。
承诺彻底审查确保安全,目标年底前再度上线
Pump Science 也宣布了一系列的处理方案,包含对平台的前端和协议进行完整审查,并推出漏洞悬赏计画 (bug bounty),邀请白帽骇客进行渗透测试。此外官方也表示将继续优化私钥管理,以确保安全性。Pump Science 承诺,新代币会等到在完成全面审查後才会发行,目标是在年底前让 Pump Science 平台重新上线。
(恐怖主义丶囚禁奶奶丶扬言扫射校园样样来!Pump.fun 急踩煞车,平台宣布下架直播功能)
DeSciPump SciencePump.fun私钥诈骗 衍伸阅读
