Pump.science 私鑰外洩「發假幣收割散戶」，崩盤事件始末

近期，pump.science平台發生了一起重大的安全事件，導致其錢包私鑰洩漏，進而引發了一場與假幣發行相關的風波。本文將深入探討這一事件的背景、影響及其對社群的啟示。
（前情提要： DeSci 去中心化科學賽道很火，但它真的需要迷因幣嗎？ ）
（背景補充： CZ罕見表態：不反對迷因幣發展，但目前趨勢有點奇怪.. ）

 

11 月 25 日晚，在 pump.fun 上被標記為 RIF 和 URO 建立者的地址發行 Urolithin B（URO）代幣，這讓許多社群成員誤以為這是 pump.science 官方發行的代幣。

Urolithin B（URO）迅速「畢業」，並在流動性池加入後的兩分鐘內，其市值一度飆升至 1000 萬美元，然而之後便開始持續下跌，目前市值已經回落至約 10 萬美元。

這一事件似乎也對 Urolithin A（URO）和 Rifampicin（RIF）的市場表現產生了影響，兩者在 24 小時內均下跌超過 30 %。那麼，這究竟是怎麼一回事？

pump.science 錢包金鑰對遭洩漏

事件的起因是 pump.science 的錢包金鑰對洩漏。

根據 pump.science 官方透露，由於其在 GitHub 庫中的一個疏忽，錢包地址 T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc 被攻擊，攻擊者在網站的源程式碼中找到金鑰對。該金鑰對從一開始在 pump.science 的 GitHub 中用於測試目的，開發團隊並未意識到其重要性。

從昨晚 pump.fun 出現的詐騙 URO 代幣頁面可以看到，部署這個假代幣的錢包地址正是 T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc。 pump.fun 平臺顯示，這個地址曾在鏈下部署了 Urolithin A（URO）和 Rifampicin（RIF）這兩個官方代幣，目前市值分別約為 8700 萬美元和 3700 萬美元。

而此次的詐騙 URO 代幣是由洩露金鑰對的 T5j2UBT 開頭地址在鏈上發行的。這正是為什麼在 pump.fun 上會顯示是官方 URO 和 RIF 代幣的部署者發布了新幣的原因。

pump.science 表示，該錢包是在 pump.fun 上標示為 URO 和 RIF 的鏈下代幣建立者，攻擊者可能會利用該錢包發行更多代幣，除了 URO 和 RIF 之外，任何由這個錢包發行的其他代幣都應被視為詐騙。

值得注意的是，pump.science 官方並沒有對那些誤信並接盤了詐騙 URO 代幣的使用者採取任何補救或補償措施，這在社群中引起了廣泛的關注和熱議。

pump.fun 鏈下建立功能致區塊鏈瀏覽器和資料工具顯示混亂

引發社群疑慮的還有 pump.fun 和區塊鏈瀏覽器以及資料工具中的代幣建立者顯示。

pump.science 官方 URO 和 RIF 代幣是透過 pump.fun 在鏈下建立的，而詐騙 URO 是透過 pump.fun 在鏈上建立的。然而，在區塊鏈瀏覽器 solscan 上卻顯示，Urolithin A（URO）和 Rifampicin（RIF）的部署者位址為：BLDRZQiqt4ESPz12L9mt4XTBjeEfjoBopGPDMA36KtuZ。

接下來，讓我們先來瞭解下 pump.fun 的鏈下發幣功能。在 pump.fun 平臺上，鏈下發幣是免費的，代幣發行後不會立即上鏈，直到有第一個購買者出現時才會被記錄在鏈上。而第一個購買者需要支付代幣的發行成本。所以，對於鏈下建立的代幣，第一個購買者通常會被區塊鏈瀏覽器 solscan 或 GMGN 等資料工具誤認為是代幣的部署者。

舉例來說，官方 URO 和 RIF 代幣在鏈下建立後，第一個購買者的錢包地址 BLDRZQiqt4ESPz12L9mt4XTBjeEfjoBopGPDMA36KtuZ 就被 solscan 或 GMGN 錯誤地標記為代幣的部署者。

在此，筆者提醒投資者，在進行 Meme 代幣投資時，注意區分在 pump.fun 鏈上和鏈下建立的代幣並加以核實，以防掉入詐騙陷阱。此外，還需對 pump.science 洩露的以 T5j2UBTvLY 開頭的錢包發行的任何潛在代幣保持警惕。同時，我們也希望平臺方和代幣部署者能夠增強安全措施，防止此類詐騙行為的再次發生。

📍相關報導📍

VC 如何看待目前的迷因幣狂潮？Meme 本輪週期還能走多久

Bitrace推出《Web3反欺詐完全手冊》：6種極限騙術潛伏鏈上

小心！網民以ChatGPT開發炒幣機器人「遭埋後門」，私鑰洩漏錢包瞬間被清空