Команда Pump Science опублікувала звіт щодо нещодавнього інциденту з випуском неавторизованих токенів профілем розробників Pump.fun.
Full report on yesterday's incident:
TLDR:
Do not trust any new tokens launched from the pscience https://t.co/SahErfa0Rx profile or by the wallet address: T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8scthe wallet (T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc) behind our…
— Pump Science (@pumpdotscience) November 26, 2024
25 листопада гаманець T5j…b8sc, прив’язаний до профілю Pump.fun на платфромі, був скомпрометований. Зламник запустив від імені команди неавторизований токен.
Розробники підкреслили, що справжніми є тільки URO і RIF. Гаманець T5j залишається скомпрометованим, тому всі інші випущені ним токени оголошені неавторизованими та шахрайськими.
Причиною інциденту стала необережність Solana-розробників BUILDERZ, які залишили приватний ключ від гаманця в коді. Зламник скористався даними та отримав доступ до гаманця.
Команда припинила використання скомпрометованого гаманця і пообіцяла провести низку аудитів інтерфейсу і програм Solana. Також буде оголошено баунті-програму для тестування заходів безпеки додатка.
Update on recent events:
> our api key permissions got cooked
> hackers accessed the UI, posted fake experiments
> real devs caught the issue and implemented a fix
> currently running final tests before coming back onlineonly real tokens are $RIF / $URO
all new tokens announced…— Pump Science (@pumpdotscience) November 16, 2024
17 листопада Pump Science повідомляла про схожий інцидент. Тоді зловмисники скористалися вразливістю в API та опублікували на платформі фейкові експерименти. Проблему незабаром усунули.
Нагадаємо, 26 листопада Pump.fun відключила функцію стримінгу через проблеми з модерацією.