Công ty an ninh mạng SlowMist đã đưa ra cảnh báo sau khi một người dùng mất tài sản tiền điện tử của họ bằng cách tải xuống thứ trông giống như bot giao dịch Solana hợp pháp. Dự án có tên "solana-pumpfun-bot" này tuyên bố giúp người dùng giao dịch token trên Pump.fun, một nền tảng phổ biến trong hệ sinh thái Solana. Nhưng thay vào đó, nó đã rút cạn ví của người dùng.

Bot vô tội với một bước ngoặt nguy hiểm

Người dùng đã tải xuống bot mã nguồn mở từ GitHub, chạy nó và ngay sau đó, ví của họ đã bị xóa sạch. Thoạt nhìn, dự án trông bình thường. Nó có các ngôi sao, nhánh và thậm chí cả các cam kết gần đây. 

Dự án là một ứng dụng Node.js bao gồm một dependency ẩn - một gói được liên kết từ URL GitHub tùy chỉnh thay vì sổ đăng ký NPM chính thức. Điều này cho phép gói độc hại vượt qua các kiểm tra bảo mật của NPM, khiến việc phát hiện trở nên khó khăn hơn.

Sau khi cài đặt, mã sẽ quét hệ thống của nạn nhân để tìm dữ liệu ví và gửi khóa riêng của họ đến máy chủ từ xa do kẻ tấn công kiểm soát.

Để trông có vẻ an toàn, kẻ tấn công đã sử dụng tài khoản GitHub giả để sao chép và phân nhánh dự án, tạo cho nó vẻ ngoài được sử dụng rộng rãi. Nhưng theo SlowMist, toàn bộ cơ sở mã đã được tải lên chỉ ba tuần trước, đây là dấu hiệu rõ ràng cho thấy có điều gì đó không ổn.

Trong một dòng tweet, SlowMist giải thích:

“Kẻ phạm tội đã ngụy trang một chương trình độc hại thành một dự án nguồn mở hợp pháp... người dùng vô tình chạy một dự án Node.js có nhúng các phần phụ thuộc độc hại, làm lộ khóa riêng tư và mất tài sản.”

Cảnh báo quan trọng cho các nhà phát triển và nhà giao dịch

SlowMist khuyên người dùng không bao giờ tin tưởng mù quáng vào các dự án GitHub, đặc biệt là những dự án yêu cầu quyền truy cập ví hoặc xử lý khóa riêng. Nếu bạn cần kiểm tra các công cụ như thế này, hãy thực hiện trong môi trường hộp cát chứ không phải với tài sản thực của bạn.

Nhóm nghiên cứu cảnh báo: "Nếu bạn phải thử nghiệm chúng, hãy thực hiện trong môi trường biệt lập, có hộp cát và không có dữ liệu nhạy cảm".

Tại sao điều này quan trọng

Khi ngày càng nhiều nhà giao dịch và nhà phát triển dựa vào các công cụ nguồn mở trong không gian tiền điện tử, các cuộc tấn công như thế này ngày càng khó phát hiện hơn. 

Điểm mấu chốt ở đây rất đơn giản: nếu một dự án GitHub liên quan đến ví của bạn, hãy coi đó là dự án có rủi ro cao!