DeSci 平台 Pump Science 烏龍：私鑰外洩引詐騙代幣風波，承諾不再用 Pump.fun 發幣

最近 Pump.fun 的直播脫序事件也是引發軒然大波，而其中也有 Pump 在名稱裡的去中心化科學 (DeSci) 平台 Pump Science 近日發生私鑰外洩事件，導致詐騙代幣氾濫。Pump Science 立刻在推特直播向用戶道歉並同時宣布處理方案，承諾未來會著重平台安全，避免類似事件重演。

DeSci 平台 Pump Science 專注醫療代幣

Pump Science 是一個專注於長壽醫療的去中心化科學 (DeSci) 平台，允許交易與醫療相關的代幣。目前 Pump Science 只有兩款官方代幣，分別是 Urolithin A (URO) 和 Rifampicin (RIF)。URO 代幣目前市值為 3,320 萬美元，而 RIF 代幣市值為 8,054 萬美元。

(註： Urolithin A 是一種膳食補充品，主要調節粒線體活性，有抗氧化和抗發炎的功用。Rifampicin 是一種治療肺結核的藥物。)

私鑰外洩，詐騙代幣氾濫

Pump Science 於 11 月 25 至 26 日在推特表示，自家在 Pump.fun 的的錢包 (地址是 T5j2U 開頭) 私鑰意外公開在 GitHub 程式碼裡，遭到駭客盜用。Pump Science 原本以為這是用來測試的小錢包 ，覺得並不重要所以沒特別管。

可問題是，這個地址是 T5j2U 開頭的錢包在 Pump.fun 被標記成是 URO 和 RIF 這兩個代幣的「創建者」，但其實真正的創建者是另一個地址為 BLDRZQ 開頭的錢包 。

Pump Science 被盜後馬上查看鏈上交易紀錄，發現 BLDRZQ 是第一個買 URO 和 RIF 代幣的錢包 ，導致其他交易平台才會認為 BLDRZQ 錢包是真正的「代幣創建者」。也因為這些資訊不一致，因此忽略了 T5j2U 錢包的重要性，才讓駭客有機會下手，還被駭客用來創建多個詐騙代幣像是 Urolithin B 到 Urolithin E ($URO) 和 Cocaine ($COKE) 等。

Pump Science 強調：「這些代幣不是我們團隊所創建，這個錢包地址已被駭客盜用，不要購買 T5j2U 錢包所部署的任何新代幣。」為防止更多人上當，Pump Science 已將自家在 Pump.fun 帳戶名稱更改為「dont_trust」，並與區塊鏈安全公司 Blockaid 合作，標記 T5j2U 地址的所有新發行的代幣活動。

Pump Science 親上火線說明被盜用緣由

官方直言，絕不再用 Pump.fun 發幣

11 月 27 日，Pump Science 執行長 Benji Leibowitz 於推特中直播公開致歉，坦言這是一次重大失誤。Leibowitz 直言：「我們承認這真的是一個很大的疏忽，非常抱歉，未來絕對不會再使用 Pump.fun 來發行代幣。」

Pump Science 執行長親上火線致歉

BuilderZ 疑有部分責任，官方展開調查

Pump Science 將部分責任歸咎於 Solana 生態的開發團隊 BuilderZ，稱 BuilderZ 誤將開發者的錢包地址 (T5j2U) 的私鑰放入 GitHub，還被誤認為是測試錢包的私鑰。

接著 Pump Science 團隊開始分析駭客身份並率先表明駭客不太可能是 BuilderZ，因為把代幣部署到 Solana 的方式與 BuilderZ 的機制不同。Pump Science 認為駭客更可能是之前入侵過 Solana 商品代幣化平台「elmnts」的創辦人 James Pacheco 錢包的同一夥人。

承諾徹底審查確保安全，目標年底前再度上線

Pump Science 也宣布了一系列的處理方案，包含對平台的前端和協議進行完整審查，並推出漏洞懸賞計畫 (bug bounty)，邀請白帽駭客進行滲透測試。此外官方也表示將繼續優化私鑰管理，以確保安全性。Pump Science 承諾，新代幣會等到在完成全面審查後才會發行，目標是在年底前讓 Pump Science 平台重新上線。

(恐怖主義丶囚禁奶奶丶揚言掃射校園樣樣來！Pump.fun 急踩煞車，平台宣布下架直播功能)

這篇文章 DeSci 平台 Pump Science 烏龍：私鑰外洩引詐騙代幣風波，承諾不再用 Pump.fun 發幣 最早出現於 鏈新聞 ABMedia。