- Kẻ tấn công đã lợi dụng một khóa riêng tư bị lộ từ ví bị hack để tạo ra các token không được phép.
- Việc tạo token ngoài chuỗi đã tăng thêm độ phức tạp, khiến việc phân biệt token hợp pháp và gian lận trở nên khó khăn hơn.
- Pump Science đã hợp tác với Blockaid để đánh dấu các token không được phép và tăng cường bảo mật giao dịch.
Pump Science, một nền tảng khoa học phi tập trung (DeSci) trên Solana, đã thông báo về một vi phạm bảo mật do ví bị hack gây ra. Nền tảng này giải thích rằng khóa riêng tư của ví của họ, nơi sản xuất các token URO và RIF, đã bị lộ do sơ suất của nhà phát triển.
Kẻ tấn công đã lợi dụng vi phạm này để tạo ra các token không được phép, gây hiểu lầm cho người dùng và gây lo ngại.
Cách thức tấn công diễn ra
Vi phạm bắt nguồn từ lỗi của nhà phát triển đã làm lộ khóa riêng tư cho ví, được xác định là T5j2U…jb8sc, trong mã nguồn của nền tảng.
Mặc dù ví này ban đầu không được dự định là ví của nhà phát triển, nhưng khóa của nó có thể truy cập thông qua giao diện Pump Science, cho phép kẻ tấn công khai thác.
Pump Science đã xác định tất cả các token được tạo từ ví này là giả, nhấn mạnh rằng đội ngũ của họ không tạo ra bất kỳ token nào trong số này. Họ cũng đã cảnh báo người dùng không tin tưởng vào thông tin trên trang hồ sơ Pump Science bị xâm phạm, mà kẻ tấn công đã sử dụng để tiếp tục gian lận.
Công ty giải thích rằng các lỗi trong hồ sơ tạo token đã góp phần vào vấn đề. Các token không hợp lệ như $UFO và $RIF đã được tạo ngoài chuỗi thông qua tính năng tạo token miễn phí của nền tảng.
Do quy trình này, những người mua ban đầu, chứ không phải công ty, xuất hiện như những người triển khai trên chuỗi của các token này. Điều này khiến việc phân biệt giữa phát hành token hợp pháp và gian lận trên các nền tảng như Solscan và pump.fun trở nên khó khăn hơn.
Pump Science đang làm việc với công ty bảo mật Blockaid để đánh dấu bất kỳ token mới nào được tạo từ ví bị xâm phạm. Họ cũng đang cập nhật API quét để đánh dấu các giao dịch liên quan đến các token này với cảnh báo.
Pump Science nhắc lại cam kết của mình đối với bảo mật người dùng và khuyên người dùng tránh tương tác với bất kỳ token nào liên quan đến ví bị xâm phạm. Kẻ tấn công vẫn giữ khóa riêng tư, vì vậy việc tạo token không được phép có thể tiếp tục.
Miễn trừ trách nhiệm: Thông tin được trình bày trong bài viết này chỉ nhằm mục đích thông tin và giáo dục. Bài viết không cấu thành lời khuyên tài chính hoặc bất kỳ loại lời khuyên nào. Coin Edition không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh do việc sử dụng nội dung, sản phẩm hoặc dịch vụ được đề cập. Độc giả được khuyên nên thận trọng trước khi thực hiện bất kỳ hành động nào liên quan đến công ty.
