Egy új, rendkívül veszélyes kriptós átverésre figyelmeztet a SlowMist nevű kiberbiztonsági cég. A csalók ezúttal egy látszólag ártalmatlan Solana kereskedési bot mögé bújtak, amelyet a GitHub platformján tettek közzé. A projekt neve: „solana-pumpfun-bot” – és azt ígérte, hogy segít a felhasználóknak a Solana ökoszisztémában népszerű Pump.fun platformon történő token-kereskedésben. A valóság azonban egészen más volt: a bot kiürítette a felhasználók pénztárcáit.
Ártalmatlannak tűnt, de csapda volt
A gyanútlan felhasználók letöltötték a botot GitHubról, elindították, és nem sokkal később pénztárcájuk teljesen kiürült. A projekt első ránézésre hitelesnek tűnt: voltak csillagozások, forkok és friss commitok is.
A bot egy Node.js alapú alkalmazás volt, amely egy rejtett függőséget tartalmazott. Ez a függőség egy egyedi GitHub URL-ről töltődött le, nem pedig a hivatalos NPM csomagkezelőből. Így a rosszindulatú csomag megkerülte az NPM biztonsági ellenőrzéseit, és nehezen volt kiszűrhető.
Miután a felhasználó elindította a programot, a kód elkezdte átvizsgálni a rendszert pénztárca adatok után, majd a megszerzett privát kulcsokat egy hacker által irányított szerverre küldte.
Megtévesztő GitHub aktivitás
A csalók úgy tették hitelesnek a projektet, hogy hamis GitHub fiókokkal csillagozták és forkolták a tárolót, ezzel azt a látszatot keltve, hogy sokan használják. A SlowMist elemzése szerint azonban a teljes kódbázist mindössze három hete töltötték fel, ami gyanúsan friss egy „népszerű” projekt esetében.
A SlowMist a Twitteren kiemelte:
„A csalók egy rosszindulatú programot álcáztak legitim nyílt forráskódú projektként… A felhasználók akaratlanul is elindították a Node.js projektet, amely rejtett rosszindulatú függőségeket tartalmazott. Ezzel feltárták a privát kulcsaikat, és elvesztették kriptoeszközeiket.”
On July 2, a victim reached out to the SlowMist team after losing crypto assets. The cause? Running a seemingly legitimate GitHub project — zldp2002/solana-pumpfun-bot.
🕳️What looked safe turned out to be a cleverly disguised trap.
Our analysis revealed:
1️⃣The perpetrator… pic.twitter.com/UkbVLf7owk
— SlowMist (@SlowMist_Team) July 4, 2025
Ez is érdekes lehet: Arthur Hayes szerint a Bitcoin 90 000 dollárra is visszaeshet a következő bikapiac előtt
Fontos figyelmeztetés fejlesztőknek és kereskedőknek
A SlowMist szerint soha nem szabad vakon megbízni nyílt forráskódú GitHub projekteknél, különösen azoknál, amelyek hozzáférést kérnek a pénztárcákhoz vagy kezelik a privát kulcsokat. Ha valaki ilyen eszközt akar kipróbálni, csak izolált, biztonságos (sandbox) környezetben tegye, és soha ne használjon valódi pénzeszközöket.
A szakértők szerint az ilyen típusú támadások egyre gyakoribbak, mivel egyre többen támaszkodnak nyílt forráskódú eszközökre a kriptovilágban. A tanulság egyszerű: ha egy GitHub projekt a kriptotárcádhoz férhet hozzá, kezeld magas kockázatúnak!
A kriptomagazin.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást. Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptomagazin.hu felelősséget nem vállal.
