去中心化科學平台 Pump Science 在其私鑰在 GitHub 上洩露後，警告用戶注意透過其 Pump.fun 帳戶部署的詐騙代幣。

根據11 月27 日的公告，攻擊者成功獲取了透過GitHub 洩露將私鑰連結到Pump.fun 上的帳戶，從而在Pump Science 的攻擊下創建欺詐性代幣，例如Urolithin B 到E (URO) 和古柯鹼(COKE)簡介。

Pump Science 的平台專注於創建與長壽醫學研究相關的代幣。該項目將自己描述為一項遊戲化的長壽研究計劃，旨在將代幣持有者與化合物的智慧財產權聯繫起來。它允許代幣持有者向供應商出售「幹預」權，整合研究和商業。

利福平（RIF）和尿石素 A（URO）是該計畫推出的僅有的兩種代幣。利福平是一種抗生素，用於治療結核病，而尿石素 A 則用於研究其作用增強粒線體功能和肌肉健康的潛力。漏洞利用後，RIF 和 URO 的價格均下跌了 25% 以上。

Pump Science 建議用戶避免購買源自「pscience PumpFun 配置檔案」的任何新代幣或與其進行交互，並警告攻擊者仍然有訪問受感染的錢包。

根據攻擊後報告，洩漏的發生是由於與配置文件關聯的私鑰無意中發佈在該專案的 GitHub 程式碼庫中。

Pump Science 表示，此次洩漏源於BuilderZ 的疏忽，BuilderZ 是該專案開發背後的基於Solana 的軟體開發公司，將私鑰留給了GitHub 程式碼庫中的開發者錢包「T5j2U …jb8sc」。該公司錯誤地認定d 密鑰屬於測試錢包，因此認為它「不重要」。

「[BuilderZ] 將私鑰留在程式碼庫中的T5j，認為它不是開發錢包，它是不是，但由於免費代幣創建功能，這在http://pump.fun 前端出現了，」該項目寫道。

Pump Science 已將其 Pump.fun 配置檔案重命名為「 dont_trust」並且是與區塊鏈安全公司 Blockaid 合作，標記來自受感染地址的欺詐性鑄幣廠，以避免進一步利用。 

為了解決安全問題，平台誓言對其前端系統進行全面審核，並規劃執行漏洞賞金計畫進行滲透測試。此外，未來的代幣發行只會在完整的應用程式和智能合約審核之後進行，並且該平台確認將不再在 Pump.fun 上發行代幣。

同時，社群批評了該項目對違規行為的處理，一些用戶將其標記為騙局，並且其他人質疑其營運能力。請參閱下文。

「將私鑰留在程式碼庫中」FML。項目理應歸零。

私鑰外洩是去中心化領域安全漏洞的主要原因之一。區塊鏈分析公司 CertiK 報告稱，2024 年第三季度，此類洩密是第二昂貴的攻擊媒介，在 10 起事件中導致 3.244 億美元被盜。