Зловреден проект с отворен код в GitHub, маскиран като бот за търговия със Solana, е компрометирал портфейлите на потребители, според доклад от 2 юли 2025 г. на компанията за киберсигурност SlowMist.
Проектът, наречен „solana-pumpfun-bot“, бе публикуван под потребителското име zldp2002 в GitHub и бързо привлече вниманието на общността. Но вместо да предлага реална функционалност, ботът тайно крадеше криптовалути от портфейлите на потребителите и прехвърляше средствата към платформата FixedFloat.
Разследването на SlowMist разкри, че ботът е създаден с Node.js и използва съмнителна зависимост, наречена „crypto-layout-utils”, която не е включена в официалните NPM хранилища. След инсталирането си, този пакет сканира за частни ключове и файлове с портфейли на устройството на потребителя и ги изпращаше на сървър, контролиран от хакера, githubshadow.xyz.
Кодът на зловредния софтуер бе силно замъглен, което затрудняваше откриването му. Нападателят също така разклони проекта няколко пъти, използвайки фалшиви GitHub акаунти, което увеличи експозицията. Някои от тези разклонения използваха алтернативен зловреден пакет, „bs58-encrypt-utils-1.0.3“.
Атаката изглежда е активна от 12 юни 2025 г. и е била открита едва след като жертвата се е свързала с SlowMist ден след инсталирането на проекта. Ончейн анализ след експлойта, извършен с инструмента MistTrack на SlowMist, потвърди, че откраднатите средства са били пренасочени към FixedFloat.
SlowMist предупреди категорично да не се изпълняват софтуерни продукти с отворен код, базирани на GitHub, които взаимодействат с портфейли или частни ключове, освен ако това не се прави в силно изолирана среда. Компанията препоръчва да се избягват подозрителни или непроверени пакети, особено в рамките на крипто бот платформи и инструменти за автоматизация.
Случаят подчертава нарастващия риск от социално инженерство и отвличане на зависимости в разработката на крипто софтуер с отворен код, както и важността на проверката на всеки компонент преди изпълнение.
Първата половина на 2025 г. се превърна в най-разрушителния шестмесечен период в историята на криптовалутите, като според нови данни са откраднати над $2.1 милиарда в над 75 отделни случая.
Нов вид кибератаки се разпространява в крипто медиите, като използва изскачащи прозорци на сайтове и съобщения за свързване с портфейли, вместо бъгове в смарт договорите.
CoinMarketCap, една от най-широко използваните платформи за проследяване на крипто данни, според съобщения се сблъсква с нарушение на сигурността, като много потребители получават съмнително съобщение да потвърдят портфейлите си.
Известен инвеститор в крипто VC компанията Hypersphere стана жертва на сложна фишинг атака, която унищожи значителна част от личните му спестявания.