- Saldırganlar, hacklenmiş bir cüzdandan sızdırılan özel anahtarı kullanarak yetkisiz tokenlar oluşturdu.
- Zincir dışı token oluşturma, karmaşıklığı artırarak meşru tokenları sahte olanlardan ayırt etmeyi zorlaştırdı.
- Pump Science, yetkisiz tokenları işaretlemek ve işlem güvenliğini artırmak için Blockaid ile iş birliği yaptı.
Solana üzerinde merkeziyetsiz bir bilim (DeSci) platformu olan Pump Science, hacklenmiş bir cüzdan nedeniyle bir güvenlik ihlali yaşandığını duyurdu. Platform, URO ve RIF tokenlarını üreten cüzdanlarının özel anahtarının, geliştirici hatası nedeniyle sızdırıldığını açıkladı.
Saldırganlar bu ihlali kullanarak yetkisiz tokenlar oluşturdu, kullanıcıları yanılttı ve endişeye neden oldu.
Saldırı Nasıl Gerçekleşti
İhlal, platformun kod tabanında T5j2U…jb8sc olarak tanımlanan cüzdanın özel anahtarını açığa çıkaran bir geliştirici hatasından kaynaklandı.
Bu cüzdan başlangıçta bir geliştirici cüzdanı olarak tasarlanmamış olsa da, anahtarı Pump Science ön yüzü aracılığıyla erişilebilir durumdaydı ve saldırganlar bunu istismar etti.
Pump Science, bu cüzdandan üretilen tüm tokenları sahte olarak tanımladı ve ekibinin bunlardan hiçbirini oluşturmadığını vurguladı. Ayrıca kullanıcıları, saldırganların dolandırıcılığı sürdürmek için kullandığı, tehlikeye atılmış Pump Science profil sayfasındaki bilgilere güvenmemeleri konusunda uyardı.
Şirket, token oluşturma kayıtlarındaki hataların soruna katkıda bulunduğunu açıkladı. $UFO ve $RIF gibi geçersiz tokenlar, platformun ücretsiz token oluşturma özelliği aracılığıyla zincir dışı olarak oluşturuldu.
Bu süreç nedeniyle, bu tokenların zincir üzerindeki dağıtıcıları şirket değil, ilk alıcılar olarak göründü. Bu durum, Solscan ve pump.fun gibi platformlarda meşru ve sahte token ihraçlarını ayırt etmeyi zorlaştırdı.
Pump Science, tehlikeye atılmış cüzdandan üretilen yeni tokenları işaretlemek için güvenlik firması Blockaid ile çalışıyor. Ayrıca, bu tokenları içeren işlemleri uyarılarla işaretlemek için tarama API'lerini güncelliyorlar.
Pump Science, kullanıcı güvenliğine olan bağlılığını yineledi ve kullanıcıları ihlal edilen cüzdanla bağlantılı herhangi bir tokenla etkileşime girmekten kaçınmaları konusunda uyardı. Saldırgan hala özel anahtara sahip olduğundan, yetkisiz token oluşturma devam edebilir.
Feragatname: Bu makalede sunulan bilgiler yalnızca bilgilendirme ve eğitim amaçlıdır. Makale, finansal tavsiye veya herhangi bir türde tavsiye niteliği taşımaz. Coin Edition, bahsedilen içerik, ürün veya hizmetlerin kullanımı sonucunda meydana gelen kayıplardan sorumlu değildir. Okuyucular, şirketle ilgili herhangi bir işlem yapmadan önce dikkatli olmaya teşvik edilir.
