Actualités

DeSci : Quand La Clé Privée D’un Projet Fuite Sur GitHub

De Aucun commentaire3 Mins de Lecture

Le monde de la science décentralisée (DeSci) n’est pas à l’abri des failles de sécurité, comme vient de le prouver le projet Pump Science. Suite à la fuite accidentelle d’une clé privée sur GitHub, leur compte Pump.fun a été compromis, permettant à un attaquant de déployer des tokens frauduleux. Un incident qui soulève des questions sur la sécurité des projets DeSci.

Pump Science : Recherche Scientifique Gamifiée

Avant de plonger dans les détails de l’attaque, présentons brièvement Pump Science. Il s’agit d’une plateforme décentralisée visant à connecter recherche scientifique et commerce, en particulier dans le domaine de la médecine de longévité. Leur approche innovante permet aux détenteurs de tokens d’accéder à des droits de propriété intellectuelle sur des composés chimiques et de les vendre à des fournisseurs.

Deux Tokens Phares : RIF et URO

Jusqu’à présent, Pump Science avait lancé deux tokens :

  • Rifampicin (RIF) : Cet antibiotique est utilisé dans le traitement de la tuberculose.
  • Urolithin A (URO) : Étudié pour son potentiel à améliorer la fonction mitochondriale et la santé musculaire.

Une Fuite Aux Lourdes Conséquences

Le 27 novembre, Pump Science a annoncé que la clé privée de leur compte Pump.fun avait fuité sur GitHub. L’attaquant a ainsi pu créer des tokens frauduleux comme l’Urolithin B à E (URO) et même de la Cocaïne (COKE). Les prix des tokens légitimes RIF et URO ont chuté de plus de 25% suite à cet incident.

L’entreprise [BuilderZ] a laissé la clé privée de T5j dans le code source en pensant que ce n’était pas le portefeuille de développement, ce qui n’était pas le cas, mais cela apparaissait ainsi sur le front-end de http://pump.fun en raison de la fonction de création gratuite de tokens.

– Rapport post-attaque de Pump Science

Selon le rapport post-attaque, cette fuite résulte d’une négligence de BuilderZ, la société de développement logiciel derrière Pump Science. Ils ont laissé la clé privée du portefeuille de développement “T5j2U…jb8sc” dans le code source GitHub, pensant à tort qu’il s’agissait d’un portefeuille de test “non important”.

Gérer La Crise Et Aller De L’avant

Pour limiter les dégâts, Pump Science a renommé son profil Pump.fun en “dont_trust” et collabore avec la société de sécurité blockchain Blockaid pour signaler les frappes frauduleuses. Ils ont également promis un audit complet de leur système front-end et des programmes de bug bounty pour des tests d’intrusion.

Cette mésaventure rappelle l’importance cruciale de la sécurité dans l’espace décentralisé. Selon CertiK, au 3ème trimestre 2024, les fuites de clés privées étaient le 2ème vecteur d’attaque le plus coûteux avec 324,4 millions de dollars volés en 10 incidents.

Les Leçons À Retenir :

  • Toujours traiter les clés privées avec le plus grand soin
  • Auditer régulièrement le code pour détecter d’éventuelles fuites
  • Réagir rapidement et transparence en cas d’incident
  • Renforcer la sécurité en continu (audits, bug bounties…)

L’exploitation de Pump Science est un signal d’alarme pour l’écosystème DeSci. Espérons que cet incident sensibilisera aux enjeux de sécurité et poussera à adopter les meilleures pratiques. Car c’est seulement ainsi que la science décentralisée pourra tenir ses promesses d’innovation ouverte et collaborative.

Partager

Passionné et dévoué, je navigue sans relâche à travers les nouvelles frontières de la blockchain et des cryptomonnaies. Pour explorer les opportunités de partenariat, contactez-nous.

D'autres Articles

Laisser une réponse

Exit mobile version