吳說獲悉，慢霧安全團隊披露 GitHub 熱門開源項目“solana-pumpfun-bot”藏有盜幣陷阱，受害者運行該項目後錢包資產被盜。攻擊者在依賴包中植入惡意代碼，掃描並上傳用戶私鑰至控制服務器，相關地址資金已流入 FixedFloat。該項目通過刷 Star 和 Fork 數量提升可信度，誘導更多用戶下載運行，部分 Fork 項目亦發現類似惡意行爲。慢霧建議開發者慎用來源不明的 GitHub 工具，涉及錢包操作應在無敏感數據的獨立環境中運行。