SlowMist:GitHubで人気のSolanaツールに暗号資産窃盗の罠
Jinse Financeによると、SlowMistセキュリティチームは、7月2日に被害者が前日にGitHub上でホストされているオープンソースプロジェクト「zldp2002/solana-pumpfun-bot」を利用した後、暗号資産が盗まれたと報告したと発表しました。SlowMistの分析によれば、この攻撃では攻撃者が悪意のあるコードを正規のオープンソースプロジェクト(solana-pumpfun-bot)に偽装し、ユーザーをダウンロードおよび実行へと誘導していました。プロジェクトの人気を高めるという名目のもと、ユーザーは悪意のある依存関係を含むNode.jsプロジェクトを無意識のうちに実行し、その結果ウォレットの秘密鍵が漏洩し、資産が盗まれる事態となりました。攻撃の全体的な流れは複数のGitHubアカウントが連携して行動することで、拡散範囲を広げ、信頼性を高め、非常に巧妙なものとなっています。また、この種の攻撃はソーシャルエンジニアリングと技術的手法を組み合わせており、組織内であっても完全に防御することが困難です。SlowMistは、開発者やユーザーに対し、特にウォレットや秘密鍵の操作が関わる場合、出所不明のGitHubプロジェクトには極めて慎重に対応するよう呼びかけています。このようなプロジェクトを実行またはデバッグする必要がある場合は、機密データのないマシン上の隔離された環境で行うことを推奨します。
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
オピニオン:PENGUインジケーターが強さを示し、$0.018を突破すれば$0.028まで上昇する可能性
Web3クラウドプラットフォームImpossible Cloud Network(ICN)、2,880万ユーロの資金調達を達成
Tornado Cash共同創設者:一部のエンドユーザーによるソフトウェアの悪用が原因で、ソフトウェアエンジニアに対して刑事告発が行われている
SlowMist Cosine:Suiアドレスの秘密鍵から同一アドレスのAptosアドレスを導出することはできず、相互に変換もできない
トレンド
もっと見る暗号資産価格
もっと見る
