This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
慢雾:GitHubで人気のソラナツールに潜む盗通貨の罠
PANews 7月3日のニュースによると、Slow Mistセキュリティチームは、7月2日にある被害者が前日にGitHubにホストされているオープンソースプロジェクトであるzldp2002/solana-pumpfun-botを使用した結果、暗号資産が盗まれたと報告しています。Slow Mistの分析によると、この攻撃事件では、攻撃者が合法なオープンソースプロジェクト(solana-pumpfun-bot)に偽装し、ユーザーに悪意のあるコードをダウンロードして実行させるように誘導しました。プロジェクトの人気を高める隠れ蓑の下で、ユーザーは何の警戒もせずに悪意のある依存関係を持つNode.jsプロジェクトを実行し、ウォレットの秘密鍵が漏洩し、資産が盗まれました。この攻撃チェーンは複数のGitHubアカウントが協力して操作し、拡散範囲を広げ、信頼性を高め、非常に欺瞞的です。同時に、この種の攻撃は社会工学と技術手段の両面から行われ、組織内部でも完全に防御することは非常に困難です。 慢雾は、開発者とユーザーに対し、出所不明のGitHubプロジェクトに対して高い警戒を促します。特に、ウォレットや秘密鍵の操作に関与する場合は注意が必要です。もしデバッグを実行する必要がある場合は、独立した敏感データのないマシン環境で実行およびデバッグすることをお勧めします。