Vào ngày 2 tháng 7, một nạn nhân đã liên hệ với đội ngũ SlowMist sau khi mất tài sản tiền điện tử. Nguyên nhân? Chạy một dự án GitHub có vẻ hợp pháp — zldp2002/solana-pumpfun-bot. 🕳️Những gì trông có vẻ an toàn lại hóa ra là một cái bẫy được ngụy trang khéo léo. Phân tích của chúng tôi đã tiết lộ: 1️⃣Kẻ phạm tội đã ngụy trang một chương trình độc hại dưới dạng một dự án mã nguồn mở hợp pháp (solana-pumpfun-bot), dụ dỗ người dùng tải xuống và chạy nó. 2️⃣Sự phổ biến giả tạo của nó (sao/chia nhánh) đã che giấu mối đe dọa — người dùng không biết đã chạy một dự án Node.js với các phụ thuộc độc hại nhúng, làm lộ khóa riêng và mất tài sản. Sự kết hợp giữa xã hội + kỹ thuật này đã khiến nó trở nên rất lừa đảo. ⚠️Nhắc nhở: Đừng bao giờ tin tưởng mù quáng vào các dự án GitHub, đặc biệt là khi có liên quan đến khóa riêng hoặc ví. Nếu bạn phải thử nghiệm chúng, hãy làm như vậy trong một môi trường cách ly, không có dữ liệu nhạy cảm. 🔗Bài viết đầy đủ: #Web3Security #NodeJS #OpenSourceSecurity #GitHub