新聞 
幣種資訊 
關於我們 
根據區塊鏈資安公司 SlowMist 的警告,近期一個針對加密貨幣開發者與投資人的新型「網路釣魚詐騙」正在透過 GitHub 開源社群迅速擴散。這起事件與 Solana(SOL) 生態系有關,一名用戶因誤信一款自稱為「交易機器人」的惡意程式而導致錢包資產遭竊。
這款名為「solana-pumpfun-bot」的程式,偽裝成一個能協助用戶進行交易的有用工具,但實際上暗中蒐集使用者的「私鑰」,並將其上傳至駭客控制的遠端伺服器。根據 SlowMist 指出,事件於 7 月 2 日發生,受害者是在 GitHub 上下載該機器人並執行後,才導致錢包資金遭盜。
該程式是以 Node.js 撰寫,並透過自訂的 GitHub URL 連結隱藏惡意函式庫,避開官方 NPM 套件儲存庫的安全檢查機制。當使用者執行該應用程式後,會自動掃描電腦內的加密貨幣錢包資訊,並將私鑰傳送至駭客伺服器。
此專案外觀看似正常,具有星數評價、Fork 數量與近期更新紀錄,但實際上整體原始碼在三週前才首次上傳,且含有大量冒用帳號製造的假互動紀錄,企圖營造出一種「熱門、活躍且值得信賴」的假象。
SlowMist 在其 X(原 Twitter)上提醒用戶,目前已有越來越多駭客利用 GitHub 上的「開源程式碼」偽裝成工具,吸引用戶下載惡意軟體。他們強調,即使看似正常的工具專案,只要涉及存取或要求「私鑰」的情境,就應在「隔離環境」下進行安全測試,切勿直接信任執行。
評論:這起案例再次證明,駭客針對開源生態的攻擊策略越來越細緻,特別是與數位錢包與私鑰相關的工具,儼然已成為攻擊首選。開發者與一般用戶皆需提高對「來源代碼真實性」與「授權範圍」的敏感度。
專家也提醒,GitHub 上的開源專案並不保證「絕對安全」,特別是那些要求與錢包互動、或需要用戶輸入私鑰的工具,更應視為「高風險項目」加以處理。從資安角度而言,數位資產的風險未必來自技術複雜性,而往往是源於人們對安全疏忽的片刻。
在加密貨幣市場發展迅速的背景下,「私鑰」作為資產所有權的根本,任何管理工具的信任檢驗方法與使用者風險意識,都將成為守護資產安全的關鍵。
(資料來源:SlowMist X 發文與官方報告,發佈時間:7 月 2 日)
留言 0