Công ty an ninh mạng SlowMist đã đưa ra cảnh báo sau khi một người dùng mất tài sản tiền điện tử của họ bằng cách tải xuống thứ trông giống như bot giao dịch Solana hợp pháp. Dự án có tên “solana-pumpfun-bot” này tuyên bố giúp người dùng giao dịch token trên Pump.fun, một nền tảng phổ biến trong hệ sinh thái Solana. Nhưng thay vào đó, nó đã rút cạn ví của người dùng.
Bot vô tội với một bước ngoặt nguy hiểm
Người dùng đã tải xuống bot mã nguồn mở từ GitHub, chạy nó và ngay sau đó, ví của họ đã bị xóa sạch. Thoạt nhìn, dự án trông bình thường. Nó có các ngôi sao, nhánh và thậm chí cả các cam kết gần đây
Dự án là một ứng dụng Node.js bao gồm một dependency ẩn - một gói được liên kết từ URL GitHub tùy chỉnh thay vì sổ đăng ký NPM chính thức. Điều này cho phép gói độc hại vượt qua các kiểm tra bảo mật của NPM, khiến việc phát hiện trở nên khó khăn hơn.
Sau khi cài đặt, mã sẽ quét hệ thống của nạn nhân để tìm dữ liệu ví và gửi khóa riêng của họ đến máy chủ từ xa do kẻ tấn công kiểm soát.
Để trông có vẻ an toàn, kẻ tấn công đã sử dụng tài khoản GitHub giả để sao chép và phân nhánh dự án, tạo cho nó vẻ ngoài được sử dụng rộng rãi. Nhưng theo SlowMist, toàn bộ cơ sở mã đã được tải lên chỉ ba tuần trước, đây là dấu hiệu rõ ràng cho thấy có điều gì đó không ổn.
Trong một dòng tweet, SlowMist giải thích:
“Kẻ phạm tội đã ngụy trang một chương trình độc hại thành một dự án nguồn mở hợp pháp… người dùng vô tình chạy một dự án Node.js có nhúng các phần phụ thuộc độc hại, làm lộ khóa riêng tư và mất tài sản.”
Cảnh báo quan trọng cho các nhà phát triển và nhà giao dịch
SlowMist khuyên người dùng không bao giờ tin tưởng mù quáng vào các dự án GitHub, đặc biệt là những dự án yêu cầu quyền truy cập ví hoặc xử lý khóa riêng. Nếu bạn cần kiểm tra các công cụ như thế này, hãy thực hiện trong môi trường hộp cát chứ không phải với tài sản thực của bạn.
Nhóm nghiên cứu cảnh báo: “Nếu bạn phải thử nghiệm chúng, hãy thực hiện trong môi trường biệt lập, có hộp cát và không có dữ liệu nhạy cảm”.
Tại sao điều này quan trọng
Khi ngày càng nhiều nhà giao dịch và nhà phát triển dựa vào các công cụ nguồn mở trong không gian tiền điện tử, các cuộc tấn công như thế này ngày càng khó phát hiện hơn
Điểm mấu chốt ở đây rất đơn giản: nếu một dự án GitHub liên quan đến ví của bạn, hãy coi đó là dự án có rủi ro cao!
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
