Pump Science, oyunlaştırılmış uzun ömür araştırmalarına odaklanan merkeziyetsiz bir bilim (DeSci) platformu, anahtar sızıntısı sonucu büyük bir güvenlik ihlali yaşadı .
Bu kritik hata, saldırganların resmi Pump.fun kripto cüzdanını ele geçirip profilini çalmalarına ve platformun adı altında sahte tokenler üretmelerine olanak sağladı.
Başlangıçta, Pump Science platformu, uzun ömür araştırma girişimleriyle bağlantılı olan iki meşru token olan Urolithin A ($URO) ve Rifampicin ($RIF) tokenlerini piyasaya sürdü.
Ancak, “T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc” cüzdan adresine ait özel anahtar ifşa edilince, bir saldırgan bu zayıflıktan yararlanarak izinsiz tokenler basmayı başardı, bunlar arasında Urolithin B’den E’ye kadar ve Cocaine ($COKE) de bulunuyordu.
Bu sahte tokenler, kullanıcılara bunların meşru teklifler olduğunu düşündürdü.
Sonuç olarak, gerçek tokenlerin fiyatları %25’in üzerinde düşerek topluluk güveni ve cesaretinde keskin bir düşüşü yansıttı.
Pump Science Özel Anahtar Sızıntısı: İhmalkarlık mı, Hata mı?
Ekip raporuna göre , ihlal, Pump Science’ın arkasındaki Solana tabanlı geliştirme ekibi BuilderZ’nin bir hatasından kaynaklandı.
Geliştiriciler, cüzdanın özel anahtarını GitHub deposunda yanlışlıkla bir test cüzdanı sanarak bıraktılar.
Bu hata, anahtarı herkese açık hale getirdi ve saldırganlar bu hatadan yararlandı ve cüzdana ve ilişkili Pump.fun profiline el koydular.
Söz konusu cüzdan başlangıçta geliştiricinin ana cüzdanı olarak kullanılmak üzere tasarlanmamışken, Pump.fun’un ücretsiz token oluşturma özelliği, istenmeyen şekilde resmi profille ilişkilendirmişti, bu da sahte tokenleri meşru gibi gösterdi.
Saldırgan, cüzdan erişimini kullanarak Pump Science kaynaklı gibi görünen sahte tokenler üretti.
Buna yanıt olarak, Pump Science kullanıcılarını, Pump.fun profili altında veya ilişkili cüzdan adresiyle yaratılan yeni tokenlerle etkileşime girmekten kaçınmaya yönelik uyarılar yayınladı.
Daha fazla istismarı önlemek için, platform Pump.fun profilini “@dont_trust” olarak yeniden adlandırdı.
Yetkisiz token basımlarını ve işlemleri işaretlemek için blockchain güvenlik firması Blockaid ile işbirliği yaptı.
Bu önlemlere rağmen saldırgan cüzdan kontrolünü elinde tutuyor ve sahte tokenler üretmeye devam ediyor.
Pump Science ağır eleştirilere maruz kaldı, kullanıcılar projeyi ihmalkârlıkla suçladı ve yeterli önleyici tedbirlerin eksikliği konusunda hayal kırıklığı dile getirdi.
Bazıları projeyi dolandırıcılık olarak nitelendirerek güvenlik açığını daha derin bir yetersizliğin kanıtı olarak gösterdi.
Güveni Yeniden İnşa Etme ve Zayıflıkları Ele Alma
Saldırı sonrasında, Pump Science güvenlik protokollerini kapsamlı bir şekilde yeniden yapılandırmayı taahhüt etti.
Platform, ön uç sistemlerini ve Solana programlarını denetlemeyi ve zayıflıkları belirleyip ele almayı planlıyor.
Ayrıca, altyapının sağlamlığını garanti etmek için rekabetçi denetimler yapmayı ve hata ödül programları başlatmayı taahhüt etti.
Dahası, Pump Science sistemleri tam olarak güvence altına alınana ve bağımsız denetimlerden geçene kadar yeni token çıkarmayacağını duyurdu.
Olay, merkeziyetsiz finans (DeFi) ekosistemini saran daha geniş bir zorluğun parçası, özellikle özel anahtar yönetimindeki sıkı ihtiyaçlar.
Blockchain analiz firması CertiK ’in son raporuna göre, üçüncü çeyrekte yaşanan 10 olayda, özel anahtar sızıntıları 324 milyon dolardan fazla zarar verdi.
Bu ayın başlarında, bir kripto casino platformu olan Metawin de 3 Kasım’da 4 milyon dolarlık bir hack yaşadı , Ethereum ve Solana sıcak cüzdanlarından fonlar özel anahtar sızıntısı nedeniyle çalındı.
Çalınan fonlar KuCoin ve HitBTC iç içe geçmiş hizmete kadar izlenebilmişken, saldırganın kimliği ve amacı bilinmemekte.