Szybko ewoluujący krajobraz zdecentralizowanych finansów (DeFi) nadal przyciąga zaawansowane zagrożenia cybernetyczne, a niedawny incydent uwypuklił poważne luki w ekosystemie oprogramowania open-source. Złośliwy projekt na GitHubie, podszywający się pod bota handlowego Solana, skutecznie skompromitował portfele użytkowników, jak wynika z raportu firmy cybersecurity SlowMist z 2 lipca 2025 roku. To zdarzenie podkreśla krytyczną potrzebę zwiększonej kontroli i solidnych praktyk bezpieczeństwa w sektorze silnie zależnym od rozwoju opartego na społeczności i otwartych repozytoriach.
Działający pod nazwą użytkownika zldp2002, projekt nazwany „solana-pumpfun-bot” szybko zyskał popularność. Jednakże, zamiast dostarczać obiecaną funkcjonalność, bot potajemnie wyprowadził kryptowaluty z portfeli użytkowników, przekierowując skradzione środki na platformę FixedFloat. Ten podstępny manewr ominął standardowe protokoły bezpieczeństwa, wykorzystując zaufanie do wkładów open-source.
Podstępne Taktyki i Wykonanie Techniczne
Śledztwo SlowMist wykazało, że bot oparty na Node.js wykorzystywał podejrzaną zależność, „crypto-layout-utils”, zauważalnie nieobecną w oficjalnych repozytoriach NPM. Po instalacji, ten złośliwy pakiet skrupulatnie skanował urządzenie użytkownika w poszukiwaniu kluczy prywatnych i plików portfela, następnie eksfiltrując te wrażliwe dane na serwer kontrolowany przez hakera, znajdujący się pod adresem githubshadow.xyz. Atakujący dodatkowo skomplikował wykrycie, intensywnie zaciemniając kod złośliwego oprogramowania i tworząc wiele forów projektu za pomocą fałszywych kont GitHub, aby zwiększyć jego widoczność i postrzeganą legalność. Niektóre z tych wariantów wykorzystywały alternatywny złośliwy pakiet, „bs58-encrypt-utils-1.0.3”.
Kampania ataków była aktywna od 12 czerwca 2025 roku. Ujawniono ją dopiero po tym, jak ofiara skontaktowała się ze SlowMist dzień po zainstalowaniu podstępnego projektu. Analiza on-chain po exploitacji, przeprowadzona za pomocą narzędzia MistTrack firmy SlowMist, jednoznacznie potwierdziła, że skradzione aktywa zostały przekierowane na FixedFloat, śledząc przepływ nielegalnych środków.
Łagodzenie Ryzyk i Szersze Implikacje dla Branży
Ten incydent stanowi surowe ostrzeżenie dotyczące nieodłącznych ryzyk związanych z uruchamianiem oprogramowania open-source, zwłaszcza tych, które wchodzą w interakcję z wrażliwymi aktywami, takimi jak portfele czy klucze prywatne, bez zastosowania rygorystycznych środków ostrożności. SlowMist stanowczo odradza uruchamianie takich aplikacji, chyba że w ściśle izolowanych środowiskach. Firma zdecydowanie zaleca również unikanie podejrzanych lub niezweryfikowanych pakietów, szczególnie w kontekście platform botów kryptowalutowych i narzędzi automatyzacji.
Sprawa ta wyraźnie podkreśla eskalujące zagrożenie ze strony inżynierii społecznej i przejęcia zależności w krajobrazie rozwoju oprogramowania kryptowalutowego open-source. W miarę jak branża kontynuuje innowacje, imperatyw dokładnego sprawdzania i weryfikacji każdego komponentu przed wdrożeniem staje się coraz bardziej krytyczny dla ochrony aktywów cyfrowych i utrzymania integralności ekosystemu. Ten incydent wzmacnia potrzebę, aby zarówno deweloperzy, jak i użytkownicy, zachowali najwyższą staranność w celu złagodzenia ryzyk związanych z zaawansowanymi kampaniami cybernetycznymi.
Katarzyna to redaktorka Coinbit.pl, która potrafi zamienić nawet najbardziej zawiłe analizy finansowe w lekką, uśmiechniętą opowieść. Z pasją śledzi trendy w świecie kryptowalut i nieruchomości, a jej teksty – choć pełne precyzyjnych danych – nigdy nie pozbawione są odrobiny humoru. Dzięki niej nawet spadki kursów zyskują nutkę optymizmu!