pump.science 钱包私钥泄露：一场未完的风波

撰文：Karen，Foresight News

11 月 25 日晚，在 pump.fun 上被标记为 RIF 和 URO 创建者的地址发行 Urolithin B（URO）代币，这让许多社区成员误以为这是 pump.science 官方发行的代币。Urolithin B（URO）迅速「毕业」，并在流动性池加入后的两分钟内，其市值一度飙升至 1000 万美元，然而之后便开始持续下跌，目前市值已经回落至约 10 万美元。

这一事件似乎也对 Urolithin A（URO）和 Rifampicin（RIF）的市场表现产生了影响，两者在 24 小时内均下跌超过 30%。那么，这究竟是怎么一回事？

pump.science 钱包密钥对遭泄漏

事件的起因是 pump.science 的钱包密钥对泄露。

据 pump.science 官方透露，由于其在 GitHub 库中的一个疏忽，钱包地址 T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc 被攻击，攻击者在网站的源代码中找到密钥对。该密钥对从一开始在 pump.science 的 GitHub 中用于测试目的，开发团队并未意识到其重要性。

从昨晚 pump.fun 上出现的诈骗 URO 代币页面可以看到，部署这个假代币的钱包地址正是 T5j2UBTvLYPCwDP5MVkSALN7fwuLFDL9jUXJNjjb8sc。pump.fun 平台显示，这个地址曾在链下部署了 Urolithin A（URO）和 Rifampicin（RIF）这两个官方代币，目前市值分别约为 8700 万美元和 3700 万美元。

而此次的诈骗 URO 代币是由泄露密钥对的 T5j2UBT 开头地址在链上发行的。这正是为什么在 pump.fun 上会显示是官方 URO 和 RIF 代币的部署者发布了新币的原因。

pump.science 表示，该钱包是在 pump.fun 上被标记为 URO 和 RIF 的链下代币创建者，攻击者可能会利用该钱包发行更多代币，除了 URO 和 RIF 之外，任何由这个钱包发行的其他代币都应被视为诈骗。

值得注意的是，pump.science 官方并没有对那些误信并接盘了诈骗 URO 代币的用户采取任何补救或补偿措施，这在社区中引起了广泛的关注和热议。

pump.fun 链下创建功能致区块链浏览器和数据工具显示混乱

引发社区疑惑的还有 pump.fun 和区块链浏览器以及数据工具中的代币创建者显示。

pump.science 官方 URO 和 RIF 代币是通过 pump.fun 在链下创建的，而诈骗 URO 是通过 pump.fun 在链上创建的。然而，区块链浏览器 solscan 上却显示，Urolithin A（URO）和 Rifampicin（RIF）的部署者地址为：BLDRZQiqt4ESPz12L9mt4XTBjeEfjoBopGPDMA36KtuZ。

接下来，让我们先了解下 pump.fun 的链下发币功能。在 pump.fun 平台上，链下发币是免费的，代币发行后不会立即上链，直到有第一个购买者出现时才会被记录在链上。而第一个购买者需要支付代币的发行成本。所以，对于链下创建的代币，第一个购买者通常会被区块链浏览器 solscan 或 GMGN 等数据工具误认为是代币的部署者。

举例来说，官方 URO 和 RIF 代币在链下创建后，第一个购买者的钱包地址 BLDRZQiqt4ESPz12L9mt4XTBjeEfjoBopGPDMA36KtuZ 就被 solscan 或 GMGN 错误地标记为代币的部署者。

在此，笔者提醒投资者，在进行 Meme 代币投资时，注意区分在 pump.fun 链上和链下创建的代币并加以核实，以防掉入诈骗陷阱。此外，还需对 pump.science 泄露的以 T5j2UBTvLY 开头的钱包发行的任何潜在代币保持警惕。同时，我们也希望平台方和代币部署者能够增强安全措施，防止此类诈骗行为的再次发生。