Безопасность

Pump Science отчиталась о взломе кошелька и фейковых токенах

Команда Pump Science опубликовала отчет по недавнему инциденту с выпуском неавторизованных токенов профилем разработчиков Pump.fun.

Full report on yesterday’s incident:

TLDR:
Do not trust any new tokens launched from the pscience https://t.co/SahErfa0Rx profile or by the wallet address: T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc

the wallet (T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc) behind our…

— Pump Science (@pumpdotscience) November 26, 2024

25 ноября кошелек T5j…b8sc, привязаный к профилю Pump.fun на платфроме, был скомпрометирован. Взломщик запустил от имени команды неавторизованный токен.

Разработчики подчеркнули, что настоящими являются только URO и RIF. Кошелек T5j остается скомпрометированным, потому все остальные выпущенные им токены объявлены неавторизованными и мошенническими.

Причиной инцидента стала неосторожность Solana-разработчиков BUILDERZ, которые оставили приватный ключ от кошелька в коде. Эксплойтер воспользовался данными и получил доступ к кошельку.

Команда прекратила использование скомпрометированного кошелька и пообещала провести ряд аудитов интерфейса и программ Solana. Также будет объявлена баунти-программа для тестирования мер безопасности приложения.

Update on recent events:
> our api key permissions got cooked
> hackers accessed the UI, posted fake experiments
> real devs caught the issue and implemented a fix
> currently running final tests before coming back online

only real tokens are $RIF / $URO
all new tokens announced…

— Pump Science (@pumpdotscience) November 16, 2024

17 ноября Pump Science сообщала о похожем инциденте. Тогда взломщики воспользовались уязвимостью в API и опубликовали на платформе фейковые эксперименты. Проблему вскоре устранили.

Напомним, 26 ноября Pump.fun отключила функцию стриминга из-за проблем с модерацией.

Источник

Click to rate this post!
[Total: 0 Average: 0]
Show More

Leave a Reply

Your email address will not be published. Required fields are marked *