Pump Science відзвітувала про злам гаманця і фейкові токени
Команда Pump Science опублікувала звіт щодо нещодавнього інциденту з випуском неавторизованих токенів профілем розробників Pump.fun.
25 листопада гаманець T5j…b8sc, прив’язаний до профілю Pump.fun на платфромі, був скомпрометований. Зламник запустив від імені команди неавторизований токен.
Розробники підкреслили, що справжніми є тільки URO і RIF. Гаманець T5j залишається скомпрометованим, тому всі інші випущені ним токени оголошені неавторизованими та шахрайськими.
Причиною інциденту стала необережність Solana-розробників BUILDERZ, які залишили приватний ключ від гаманця в коді. Зламник скористався даними та отримав доступ до гаманця.
Команда припинила використання скомпрометованого гаманця і пообіцяла провести низку аудитів інтерфейсу і програм Solana. Також буде оголошено баунті-програму для тестування заходів безпеки додатка.
Update on recent events:
— Pump Science (@pumpdotscience) November 16, 2024
> our api key permissions got cooked
> hackers accessed the UI, posted fake experiments
> real devs caught the issue and implemented a fix
> currently running final tests before coming back online
only real tokens are $RIF / $URO
all new tokens announced…
17 листопада Pump Science повідомляла про схожий інцидент. Тоді зловмисники скористалися вразливістю в API та опублікували на платформі фейкові експерименти. Проблему незабаром усунули.
Нагадаємо, 26 листопада Pump.fun відключила функцію стримінгу через проблеми з модерацією.