هک پروژه DeSci Pump Science به دلیل افشای کلید خصوصی
پلتفرم علمی غیرمتمرکز Pump Science پس از افشای کلید خصوصی خود در GitHub به کاربران درباره توکنهای جعلی که از طریق حساب Pump.fun آنها ایجاد شده، هشدار داده است. طبق اعلامیه ۲۷ نوامبر، مهاجم توانست کلیدهای خصوصی مرتبط با حساب آنها در Pump.fun را از طریق یک افشای GitHub به دست آورد و توکنهای جعلی مانند Urolithin B تا E (URO) و Cocaine (COKE) را تحت پروفایل به خطر افتاده Pump Science ایجاد کند.
پلتفرم Pump Science بر ایجاد توکنهای مرتبط با تحقیقات پزشکی طول عمر تمرکز دارد. این پروژه خود را به عنوان یک ابتکار تحقیقاتی طول عمر بازیسازی شده توصیف میکند و هدف آن اتصال دارندگان توکن به حقوق مالکیت معنوی ترکیبات شیمیایی است. این پلتفرم به دارندگان توکن اجازه میدهد تا حقوق «مداخله» را به تأمینکنندگان بفروشند و تحقیقات و تجارت را ادغام کنند. Rifampicin (RIF) و Urolithin A (URO) تنها دو توکنی هستند که این پروژه راهاندازی کرده است. ریفامپین، یک آنتیبیوتیک، برای درمان سل استفاده میشود، در حالی که Urolithin A به دلیل پتانسیل آن در بهبود عملکرد میتوکندری و سلامت عضلات مورد مطالعه قرار گرفته است. قیمت هر دو توکن RIF و URO پس از این هک بیش از ۲۵٪ کاهش یافت.
Pump Science به کاربران توصیه کرده است که از خرید یا تعامل با هر توکن جدیدی که از پروفایل «pscience PumpFun» ایجاد میشود خودداری کنند و هشدار داده که مهاجم همچنان به کیف پول به خطر افتاده دسترسی دارد. بر اساس گزارش پس از حمله، این افشا به دلیل انتشار ناخواسته کلیدهای خصوصی مرتبط با پروفایل در کد GitHub پروژه رخ داده است. Pump Science اعلام کرد که این افشا ناشی از سهلانگاری BuilderZ، یک توسعهدهنده نرمافزار مبتنی بر Solana که پشت توسعه پروژه قرار دارد، بوده است که کلید خصوصی کیف پول توسعهدهنده «T5j2U…jb8sc» را در کد GitHub خود باقی گذاشته بود. این شرکت به اشتباه این کلیدها را متعلق به یک کیف پول آزمایشی شناسایی کرده بود و بنابراین آن را «غیرمهم» در نظر گرفته بود.
«[BuilderZ] کلید خصوصی T5j را در کد باقی گذاشت زیرا فکر میکرد که این کیف پول توسعهدهنده نیست، که نبود، اما به دلیل ویژگی ایجاد توکن رایگان در رابط کاربری Pump.fun اینگونه به نظر میرسید.» Pump Science پروفایل Pump.fun خود را به «dont_trust» تغییر نام داده و با شرکت امنیت بلاکچین Blockaid همکاری میکند تا توکنهای جعلی ایجاد شده از آدرس به خطر افتاده را شناسایی کند و از سوءاستفاده بیشتر جلوگیری کند.
برای رفع نگرانیهای امنیتی، این پلتفرم متعهد شده است که یک بررسی کامل از سیستم رابط کاربری خود انجام دهد و برنامههای جایزه باگ برای تست نفوذ را اجرا کند. علاوه بر این، راهاندازی توکنهای آینده تنها پس از بررسی کامل برنامه و قراردادهای هوشمند انجام خواهد شد و پلتفرم تأیید کرد که دیگر توکنی در Pump.fun راهاندازی نخواهد کرد. در همین حال، جامعه از نحوه مدیریت این نقض امنیتی توسط پروژه انتقاد کردهاند و برخی کاربران آن را کلاهبرداری نامیده و برخی دیگر به شایستگی عملیاتی آن شک کردهاند.
افشای کلید خصوصی یکی از دلایل اصلی نقضهای امنیتی در فضای غیرمتمرکز است. شرکت تحلیل بلاکچین CertiK گزارش داده که در سهماهه سوم ۲۰۲۴، این افشاها دومین بردار حمله پرهزینه بوده و منجر به سرقت ۳۲۴.۴ میلیون دلار در ۱۰ حادثه شده است.