Le projet DeSci, qui transportait des jetons URO et RIF, a été compromis via son dépôt GitHub

Quelques jours seulement après l'essor des projets DeSci et les rassemblements d'URO et de RIF, la plateforme Pump Science a annoncé qu'un problème dans son dépôt GitHub avait entraîné la compromission de son portefeuille de lancement. 

Le portefeuille ayant permis le lancement d'URO et de RIF, deux des tokens DeSci les plus populaires, a été compromis et pourrait générer d'autres tokens frauduleux. La plateforme Pump Science a expliqué que le piratage a eu lieu via sa plateforme GitHub, où les pirates ont découvert une paire de clés dans le code source. Des internautes ont noté que la même équipe avait déjà expliqué une faille similaire suite à la compromission d'un site web, ce qui laisse penser à une action délibérée à l'approche du pic de valorisation des tokens. 

L'explication actuelle de l'exploitation de la faille est que Pump Science pensait que le portefeuille compromis était sans importance et servait uniquement à des fins de test. Par conséquent, ils ne se sont pas inquiétés de la présence d'une paire de clés dans un dépôt de code source GitHub. L'équipe était consciente de la présence de cette paire de clés dans le code, mais croyait que l'équipe de développement d'URO et de RIF utiliserait un autre portefeuille pour la génération des jetons. 

Il s'est avéré qu'il s'agissait de l'adresse liée à la génération des jetons URO et RIF, deux jetons DeSci très populaires. L'utilisation de cette adresse compromise pourrait être une erreur personnelle, liée à la manière dont Pump.fun gère les distributions gratuites de jetons. 

Les jetons URO et RIF ont d'abord été créés sur Pump.fun, avant d'être déployés sur Pump Science sous forme de jetons DeSci. Le processus sur Pump.fun crée les jetons sur son interface, puis les envoie au portefeuille sélectionné. Ce portefeuille est ensuite associé au créateur du jeton, ayant reçu la toute première transaction de ce nouvel actif numérique. 

Le portefeuille T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc a été exploité aujourd'hui suite à une erreur d'inattention dans notre dépôt GitHub. L'attaquant a pu trouver la paire de clés dans le code source de notre site web

Cette paire de clés est présente sur notre GitHub à des fins de test depuis le début et était…

— Pump Science (@pumpdotscience) 25 novembre 2024

Les jetons URO et RIF n'ont pas été compromis et aucun montant significatif n'a été dérobé. Le portefeuille compromis n'a pas été vidé et contient plusieurs jetons dérivés de mèmes d'une valeur supérieure à 73 783 $. Cependant, Pump Science a averti que ce même portefeuille pourrait être utilisé pour générer des jetons d'apparence légitime, du fait de son origine commune. 

Selon la communauté Pump Science, le portefeuille exposé avait déjà servi à lancer un jeton d'apparence légitime, qui a été vendu pour 54 000 $ en SOL en une seule transaction. Le portefeuille utilisé pour le lancement du faux URO était lié au portefeuille des développeurs, avant que l'équipe ne remarque l'exposition de sa paire de clés sur GitHub. 

L'URO s'échangeait autour de 0,03 $, contre 0,06 $ le 25 novembre. Le RIF a chuté à 0,07 $, après une récente remontée à 0,16 $. Les deux jetons ont commencé à dégringoler après l'annonce, par crainte d'une faille de sécurité plus importante et de pertes directes d'actifs. 

DeSci est une autre tendance de Pump.fun

La DeSci, encore à ses débuts, vise à allier la promesse de la recherche scientifique à l'attrait viral des tokens, à l'instar des mèmes. Pump Science se présentait comme une expérience équitable, liant le prix du token à de véritables tests. L'équipe a suscité des doutes quant à sa rigueur scientifique. Finalement, Pump Science s'est transformée en productrice de diffusions en direct Pump.fun, dans le but de faire grimper le prix des tokens URO et RIF à des niveaux prédéterminés. 

La crainte de tokens compromis est peut-être exagérée, car les actifs DeSci sont émis en grande quantité. La tendance DeSci, bien que considérée comme plus sérieuse, utilise également la plateforme Pump.fun pour créer de nombreux tokens similaires basés sur l'urolithine et d'autres molécules d'allongement de la vie. 

L'équipe de Pump Science a déjà suscité des doutes quant à sa capacité à mener de véritables recherches scientifiques. L'explication surprenante réside dans la divulgation de son propre portefeuille de développement, et les utilisateurs soupçonnent également une exploitation de failles internes. 

Pump Science avait déjà prévenu sur X qu'elle ne lancerait aucun nouveau jeton, à l'exception d'URO et de RIF sur sa plateforme de gamification. Pour un projet visant à révolutionner la science et à produire des médicaments prolongeant la vie, Pump Science a opté pour la facilité en se contentant de créer un mème alimentant la peur de manquer quelque chose (FOMO) lors de ses diffusions en direct. 

La valeur totale des tokens DeSci est légèrement inférieure à 700 millions de dollars. URO et RIF figurent parmi les tokens les plus importants, mais restent en retrait par rapport à OriginalTrail (TRAC) et sont désormais considérés comme des tokens potentiellement compromis, malgré l'absence d'effondrement immédiat. À ce stade, DeSci pourrait être un mélange de tokens Pump.fun et de projets légitimes et établis de longue date comme Origin Trail. Le token TRAC en tête de liste, a permis de lever plus de 21 millions de dollars lors d'une prévente ICO, témoignant d'un intérêt plus soutenu de la part des investisseurs que pour Pump.fun.