最近Pump.fun的直播事件也是引发轩然大波,而其中也有Pump在名称里的去中心化科学(DeSci)平台PumpScience近日发生私钥外泄事件,导致诈骗代币泛滥。PumpScience立刻在推特直播向用户道歉并同时宣布处理方案,承诺未来会着重平台安全,避免类似事件重演。
DeSci平台PumpScience专注医疗代币
PumpScience是一个专注于长寿医疗的去中心化科学(DeSci)平台,允许交易与医疗相关的代币。目前PumpScience只有两款官方代币,分别是UrolithinA(URO)和Rifampicin(RIF)。URO代币目前市值为3,320万美元,而RIF代币市值为8,054万美元。
(注:UrolithinA是一种膳食补充品,主要调节粒线体活性,有抗氧化和抗发炎的功用。Rifampicin是一种治疗肺结核的药物。)
私钥外泄,诈骗代币泛滥
PumpScience于11月25至26日在推特表示,自家在Pump.fun的的钱包(地址是T5j2U开头)私钥意外公开在GitHub代码里,遭到黑客盗用。PumpScience原本以为这是用来测试的小钱包,觉得并不重要所以没特别管。
可问题是,这个地址是T5j2U开头的钱包在Pump.fun被标记成是URO和RIF这两个代币的「创建者」,但其实真正的创建者是另一个地址为BLDRZQ开头的钱包。
PumpScience被盗后马上查看链上交易记录,发现BLDRZQ是第一个买URO和RIF代币的钱包,导致其他交易平台才会认为BLDRZQ钱包是真正的「代币创建者」。也因为这些信息不一致,因此忽略了T5j2U钱包的重要性,才让黑客有机会下手,还被黑客用来创建多个诈骗代币像是UrolithinB到UrolithinE($URO)和Cocaine($COKE)等。
PumpScience强调:「这些代币不是我们团队所创建,这个钱包地址已被黑客盗用,不要购买T5j2U钱包所部署的任何新代币。」为防止更多人上当,PumpScience已将自家在Pump.fun账户名称更改为「dont_trust」,并与区块链安全公司Blockaid合作,标记T5j2U地址的所有新发行的代币活动。
PumpScience亲自说明被盗用缘由
官方直言,绝不再用Pump.fun发币
11月27日,PumpScience执行长BenjiLeibowitz于推特中直播公开致歉,坦言这是一次重大失误。Leibowitz直言:「我们承认这真的是一个很大的疏忽,非常抱歉,未来绝对不会再使用Pump.fun来发行代币。」
PumpScienceCEO亲上火线致歉
BuilderZ疑有部分责任,官方展开调查
PumpScience将部分责任归咎于Solana生态的开发团队BuilderZ,称BuilderZ误将开发者的钱包地址(T5j2U)的私钥放入GitHub,还被误认为是测试钱包的私钥。
接着PumpScience团队开始分析黑客身份并率先表明骇客不太可能是BuilderZ,因为把代币部署到Solana的方式与BuilderZ的机制不同。PumpScience认为黑客更可能是之前入侵过Solana商品代币化平台「elmnts」的创办人JamesPacheco钱包的同一伙人。
承诺彻底审查确保安全,目标年底前再度上线
PumpScience也宣布了一系列的处理方案,包含对平台的前端和协议进行完整审查,并推出漏洞悬赏计划(bugbounty),邀请白帽黑客进行渗透测试。此外官方也表示将继续优化私钥管理,以确保安全性。PumpScience承诺,新代币会等到在完成全面审查后才会发行,目标是在年底前让PumpScience平台重新上线。