Команда Pump Science опубликовала отчет о недавнем инциденте, связанном с выпуском неавторизованных токенов от имени профиля разработчиков Pump.fun.

Full report on yesterday's incident:

TLDR:
Do not trust any new tokens launched from the pscience https://t.co/SahErfa0Rx profile or by the wallet address: T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc

the wallet (T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc) behind our…
— Pump Science (@pumpdotscience) November 26, 2024

25 ноября был скомпрометирован кошелек T5j…b8sc, привязанный к профилю Pump.fun на платформе. Злоумышленник от имени команды запустил неавторизованный токен.

Разработчики подчеркнули, что настоящими токенами являются только URO и RIF. Поскольку кошелек T5j остается скомпрометированным, все остальные выпущенные им токены признаны неавторизованными и мошенническими.

Причиной инцидента стала неосторожность разработчиков Solana из BUILDERZ, которые случайно оставили приватный ключ от кошелька в коде. Эксплойтер воспользовался этой уязвимостью и получил доступ к кошельку.

Команда заявила, что прекратила использование скомпрометированного кошелька, а также планирует провести аудит интерфейса и программ Solana. Дополнительно будет запущена баунти-программа для тестирования мер безопасности приложения.

Update on recent events:
> our api key permissions got cooked
> hackers accessed the UI, posted fake experiments
> real devs caught the issue and implemented a fix
> currently running final tests before coming back online

only real tokens are $RIF / $URO
all new tokens announced…
— Pump Science (@pumpdotscience) November 16, 2024

17 ноября Pump Science уже сообщала о похожем инциденте. Тогда злоумышленники использовали уязвимость в API, чтобы опубликовать на платформе фейковые эксперименты. Проблема была оперативно решена.

Напомним: 26 ноября Pump.fun отключила функцию стриминга из-за проблем с модерацией.