Pump Science отчиталась о взломе кошелька и фейковых токенах
Команда Pump Science опубликовала отчет по недавнему инциденту с выпуском неавторизованных токенов профилем разработчиков Pump.fun.
Full report on yesterday’s incident:
TLDR:
Do not trust any new tokens launched from the pscience https://t.co/SahErfa0Rx profile or by the wallet address: T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8scthe wallet (T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc) behind our…
— Pump Science (@pumpdotscience) November 26, 2024
25 ноября кошелек T5j…b8sc, привязаный к профилю Pump.fun на платфроме, был скомпрометирован. Взломщик запустил от имени команды неавторизованный токен.
Разработчики подчеркнули, что настоящими являются только URO и RIF. Кошелек T5j остается скомпрометированным, потому все остальные выпущенные им токены объявлены неавторизованными и мошенническими.
Причиной инцидента стала неосторожность Solana-разработчиков BUILDERZ, которые оставили приватный ключ от кошелька в коде. Эксплойтер воспользовался данными и получил доступ к кошельку.
Команда прекратила использование скомпрометированного кошелька и пообещала провести ряд аудитов интерфейса и программ Solana. Также будет объявлена баунти-программа для тестирования мер безопасности приложения.
Update on recent events:
> our api key permissions got cooked
> hackers accessed the UI, posted fake experiments
> real devs caught the issue and implemented a fix
> currently running final tests before coming back onlineonly real tokens are $RIF / $URO
all new tokens announced…— Pump Science (@pumpdotscience) November 16, 2024
17 ноября Pump Science сообщала о похожем инциденте. Тогда взломщики воспользовались уязвимостью в API и опубликовали на платформе фейковые эксперименты. Проблему вскоре устранили.
Напомним, 26 ноября Pump.fun отключила функцию стриминга из-за проблем с модерацией.