️
Команда Pump Science опубликовала отчет по недавнему инциденту с выпуском неавторизованных токенов профилем разработчиков Pump.fun.
25 ноября кошелек T5j...b8sc, привязаный к профилю Pump.fun на платфроме, был скомпрометирован. Взломщик запустил от имени команды неавторизованный токен.
Разработчики подчеркнули, что настоящими являются только URO и RIF. Кошелек T5j остается скомпрометированным, потому все остальные выпущенные им токены объявлены неавторизованными и мошенническими.
Причиной инцидента стала неосторожность Solana-разработчиков BUILDERZ, которые оставили приватный ключ от кошелька в коде. Эксплойтер воспользовался данными и получил доступ к кошельку.
Команда прекратила использование скомпрометированного кошелька и пообещала провести ряд аудитов интерфейса и программ Solana. Также будет объявлена баунти-программа для тестирования мер безопасности приложения.
17 ноября Pump Science сообщала о похожем инциденте. Тогда взломщики воспользовались уязвимостью в API и опубликовали на платформе фейковые эксперименты. Проблему вскоре устранили.
Напомним, 26 ноября Pump.fun отключила функцию стриминга из-за проблем с модерацией.