نشت کلید خصوصی پروژه DeSci: هک پمپ ساینس

پمپ ساینس، یک پلتفرم علمی غیرمتمرکز (DeSci) که بر روی تحقیقات طول عمر با رویکرد بازی‌سازی تمرکز دارد، دچار یک نقص امنیتی مهم شد که در پی آن کلید خصوصی آن به‌طور تصادفی در پایگاه کد گیت‌هاب قرار گرفته بود.

این نظارت بحرانی به مهاجمان اجازه داد به کیف پول رمزنگاری رسمی آن به نام Pump.fun دسترسی پیدا کنند و پروفایل آن را هک کنند و توکن‌های جعلی تحت نام این پلتفرم منتشر کنند.

در ابتدا، پمپ ساینس پروفایل Pump.fun خود را برای انتشار دو توکن قانونی، Urolithin A ($URO) و Rifampicin ($RIF)، استفاده کرده بود که با ابتکارات طول عمری آن در ارتباط بودند.

با این حال، پس از فاش شدن کلید خصوصی آدرس کیف پول “T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc”، یک مهاجم از این نقصان سوءاستفاده کرد تا توکن‌های غیرمجاز، از جمله Urolithin B تا E و Cocaine ($COKE) را ایجاد کند.

این توکن‌های جعلی کاربران را به این باور کشاندند که این محصولات قانونی هستند.

به‌طور نتیجه‌ای، قیمت توکن‌های اصلی بیش از 25٪ کاهش یافت که نشان از کاهش چشمگیر اعتماد و اطمینان جامعه بود.

نشت کلید خصوصی پمپ ساینس: سهل‌انگاری یا اشتباه؟

بر اساس گزارش تیم، نقص به دلیل اشتباه تیم توسعه‌دهنده مبتنی بر Solana به نام BuilderZ بود که کلید خصوصی کیف پول را به اشتباه در مخزن گیت‌هاب قرار داده و آن را به عنوان یک کیف پول آزمایشی فرض کرده بود.

این اشتباه باعث شد که کلید به صورت عمومی قابل دسترسی باشد و مهاجمان از این نظارت سوءاستفاده کنند تا کیف پول و پروفایل مربوط به Pump.fun را به دست گیرند.

با این که این کیف پول در ابتدا برای استفاده به عنوان کیف پول اصلی توسعه‌دهنده برنامه‌ریزی نشده بود، ویژگی ایجاد توکن رایگان Pump.fun به صورت نادرستی آن را به پروفایل رسمی پلتفرم پیوند داد و توکن‌های جعلی را معتبر جلوه داد.

مهاجم با استفاده از دسترسی به کیف پول اقدام به ایجاد توکن‌های جعلی کرد که به نظر می‌آمد از پمپ ساینس منشا گرفته‌اند.

در پاسخ، پمپ ساینس هشدارهایی صادر کرد و از کاربران خواست که با هیچ توکن جدیدی که تحت پروفایل Pump.fun یا آدرس کیف پول مرتبط با آن ایجاد شده‌اند، تعامل نداشته باشند.

برای جلوگیری از سوءاستفاده بیشتر، پلتفرم نام پروفایل Pump.fun خود را به “@dont_trust” تغییر داد.

این با همکاری با شرکت امنیت بلاکچین Blockaid برای پرچم‌گذاری ایجاد و معاملات توکن‌های غیرمجاز از آدرس نقص‌یافته به کار گرفته شد.

با وجود این تدابیر، مهاجم کنترل کیف پول را حفظ کرده و به ایجاد توکن‌های جعلی ادامه می‌دهد.

پمپ ساینس با انتقادات شدیدی از سوی جامعه خود مواجه شده و کاربران پروژه را به سهل‌انگاری متهم کرده و از کارکرد نامطلوب اقدامات پیش‌گیرانه انتقادات کرده‌اند.

بعضی حتی پروژه را به عنوان کلاه‌برداری معرفی کرده‌اند و از نقصان امنیتی به عنوان مدرکی بر بی‌کفایتی عمیق‌تر یاد کرده‌اند.

بازسازی اعتبار و پرداختن به آسیب‌پذیری‌ها

پس از هک، پمپ ساینس قول داده که یک بازنگری جامع در پروتکل‌های امنیتی خود انجام دهد.

پلتفرم برنامه‌ریزی کرده که سیستم‌های فرانت‌اند و برنامه‌های Solana خود را برای شناسایی و پرداختن به آسیب‌پذیری‌ها ممیزی کند.

همچنین، به میزبانی ممیزی‌های رقابتی و راه‌اندازی برنامه‌های جایزه‌ی باگ متعهد شده است تا از استحکام زیرساخت‌های خود اطمینان حاصل کند.

علاوه بر این، پمپ ساینس اعلام کرده که هیچ توکن جدیدی را تا زمانی که سیستم‌های آن به‌طور کامل ایمن نشده و از طریق ممیزی‌های جامع به‌طور مستقل تأیید نشده است، منتشر نخواهد کرد.

این حادثه بخشی از یک چالش گسترده‌تر است که اکوسیستم مالی غیرمتمرکز (DeFi) را در بر گرفته است، خصوصاً نیاز به مدیریت دقیق کلید خصوصی.

بر اساس گزارش اخیر از یک شرکت تحلیل بلاکچین CertiK، نشت کلید خصوصی بیش از 324 میلیون دلار خسارت در ده حادثه در طول سه‌ماهه سوم 2024 ایجاد کرده است.

اوایل این ماه، متاوین، یک پلتفرم کازینوی رمزنگاری نیز از یک هک 4 میلیون دلاری در 3 نوامبر رنج برد که سرمایه‌ها به دلیل نشت کلید خصوصی از کیف پول‌های داغ اتریوم و Solana سرقت شد.

سرمایه‌های سرقت‌شده به KuCoin و یک سرویس لانه‌ای HitBTC ردیابی شده است، در حالی که هویت و انگیزه مهاجم همچنان ناشناس است.