SlowMist ha puesto de manifiesto que el proyecto de código abierto ampliamente utilizado “Solana-pumpfun-bot” en la plataforma GitHub tiene código que roba criptomonedas de las billeteras de sus usuarios.
La investigación comenzó el 2 de julio de 2025. Una víctima contactó al equipo de seguridad de SlowMist para buscar asistencia en el análisis de las razones del robo de los activos de su billetera.
El incidente fue causado por su uso de un proyecto de código abierto alojado en GitHub el día anterior, donde se robaron los activos encriptados. SlowMist afirma que los fondos robados se están transfiriendo a la bolsa FixedFloat.
El autor del proyecto es el principal sospechoso
Para llevar a cabo el ataque, el hacker pretendió ser un proyecto de código abierto oficial (solana-pumpfun-bot) para hacer que las personas descargaran y ejecutaran código malicioso. Se encontró que un paquete dependiente sospechoso llamado “crypto-layout-utils” había sido eliminado de la fuente oficial de NPM durante la investigación.
El hacker posteriormente subió una versión maliciosa del software en lugar de la URL de descarga original. Envió datos sensibles a un servidor controlado por el atacante después de buscar en la PC de la víctima archivos relacionados con la billetera.
La investigación también encontró que se sospecha que el autor del proyecto controla múltiples cuentas de GitHub. Se utilizaron para bifurcar proyectos maliciosos, distribuir programas maliciosos y aumentar artificialmente la popularidad del proyecto. Se identificaron múltiples proyectos bifurcados con un comportamiento malicioso similar, algunos de los cuales usaron otro paquete malicioso, “bs58-encrypt-utils”.
Toda la cadena de ataque involucra varias cuentas de GitHub trabajando juntas. Esto amplió el alcance de la difusión, mejoró la credibilidad y es extremadamente engañoso. Al mismo tiempo, este ataque utilizó tanto ingeniería social como medios técnicos, y es difícil defenderse completamente de él dentro de una organización.
Se cree que la actividad maliciosa comenzó el 12 de junio de 2025. Este es cuando el atacante creó el paquete malicioso “bs58-encrypt-utils”.
El hacking de criptomonedas no ha avanzado mucho; se han vuelto más astutos
Según Slowmist, las técnicas de hacking de criptomonedas no han avanzado mucho, pero se han vuelto mucho más astutas. La jefa de operaciones de SlowMist, Lisa, dijo en el informe de análisis de fondos robados MistTrack Q2 de la firma que aunque no se observó un avance en las técnicas de hacking, las estafas se han vuelto más sofisticadas.
Hay un aumento en las extensiones de navegador falsas, billeteras de hardware manipuladas y ataques de ingeniería social. “Estamos viendo un cambio claro de ataques puramente en cadena a puntos de entrada fuera de la cadena: las extensiones de navegador, las cuentas de redes sociales, los flujos de autenticación y el comportamiento del usuario están convirtiéndose en superficies de ataque comunes”, dijo Lisa.
Por ejemplo, los atacantes guían a los usuarios a visitar sitios web conocidos y comúnmente utilizados como Notion o Zoom. Cuando el usuario intenta descargar software de estos sitios oficiales, los archivos entregados ya han sido reemplazados maliciosamente.
Otra forma es cuando los hackers envían a los usuarios una billetera fría comprometida. Les dicen a sus víctimas que han ganado un dispositivo gratis en un “sorteo” o les dicen que su dispositivo existente fue comprometido y que necesitan transferir sus activos. Aún mejor, los hackers han introducido sitios web falsos.
El golpe final suele ser la manipulación. “Los atacantes saben que frases como ‘firma arriesgada detectada’ pueden provocar pánico, lo que lleva a los usuarios a tomar acciones apresuradas. Una vez que ese estado emocional se activa, es mucho más fácil manipularlos para que hagan cosas que normalmente no harían, como hacer clic en enlaces o compartir información sensible”, dijo Lisa.
Otros ataques utilizaron métodos de hacking que aprovecharon EIP-7702, que se agregó en la versión más reciente de Ethereum Pectra. Otro ataque tomó el control de las cuentas de varios usuarios de WeChat y los tuvo como objetivo. Según SlowMist, Ethereum lideró todos los ecosistemas en pérdidas de seguridad en la primera mitad de 2025, con plataformas DeFi perdiendo alrededor de $470 millones.
Tus noticias sobre criptomonedas merecen atención - KEY Difference Wire te coloca en más de 250 sitios principales
