loading...
慢雾安全团队近日披露,一个名为“Solana-pumpfun-bot”的开源项目在 GitHub 平台被发现包含窃取用户加密资产的恶意代码,引发广泛关注。该事件始于2025年7月2日,一名受害者联系慢雾团队,称其在使用该项目后遭遇资产失窃。
调查显示,攻击者伪装成官方开源项目,诱导用户下载并运行恶意版本。该恶意程序会在用户设备上扫描与钱包相关的文件,并将私钥、助记词等敏感信息发送至攻击者控制的服务器。目前被盗资金已被转移至 FixedFloat 交易所。
更进一步的调查发现,一个名为“crypto-layout-utils”的可疑依赖包已被从官方 NPM 源中移除。攻击者随后上传了恶意版本,并篡改原始下载链接,形成完整的攻击链条。
慢雾团队还发现,项目作者涉嫌操控多个 GitHub 账户,用于分发恶意 fork 项目,并人为提升项目热度。部分恶意项目使用了另一个名为“bs58-encrypt-utils”的恶意软件包,表明此次攻击具备高度组织性与协同性。
慢雾运营主管 Lisa 在第二季度 MistTrack 被盗资金分析报告中指出,尽管加密黑客的技术本身未有本质突破,但其手法已变得更加隐蔽和成熟。
数据显示,虚假浏览器扩展、被篡改的硬件钱包以及社会工程攻击数量持续上升。攻击面正从传统的链上漏洞转向链下入口点——包括浏览器插件、社交媒体账户、身份验证流程及用户行为模式等。
例如,攻击者会引导用户访问 Notion、Zoom 等知名平台官网,但在下载环节替换为恶意安装包。另一种常见方式是伪造冷钱包通知,谎称用户设备存在风险,需立即转移资产。
更有甚者,黑客会创建虚假网站或入侵微信账户,利用心理操控诱导用户点击链接、分享私钥或授权交易。丽莎强调:“‘检测到风险签名’这类短语极易引发恐慌,促使用户做出非理性操作。”
值得注意的是,部分攻击还利用了以太坊 Pectra 升级中的新功能 EIP-7702,进一步扩大攻击范围。根据慢雾统计,2025年上半年以太坊生态安全损失位居所有区块链之首,其中 DeFi 平台损失约 4.7 亿美元。
此次事件再次凸显“链下攻击”已成为当前加密安全领域最严峻挑战。投资者需警惕任何未经验证的开源项目,尤其涉及钱包交互与资产转移功能的工具。建议定期检查依赖包来源,避免使用非官方渠道下载软件。
663
364
831
312
306
823
263
159
300
454
