近期,加密貨幣社群接連爆出 GitHub 平台上出現偽裝成「跟單機器人」(copy trading bot)的惡意程式碼,導致用戶私鑰被竊、資產遭盜取。特別是針對熱門預測市場平台 Polymarket 的跟單工具,已被安全專家證實藏有後門程式,引發廣泛關注。
據區塊鏈安全公司 SlowMist 首席資訊安全官 23pds 於 12 月 21 日轉發的社群警告,一個名為「polymarket-copy-trading-bot」的 GitHub 專案,由開發者「Trust412」上傳,表面上提供自動複製成功交易者的功能,但程式碼中多次提交隱藏惡意邏輯。該程式啟動後,會自動從用戶的 .env 檔案讀取錢包私鑰,並透過隱藏依賴套件(如 [email protected])將私鑰傳送至駭客伺服器,導致用戶資金被盜。
事件被視為典型的供應鏈攻擊(supply-chain attack),駭客利用開源專案的信任度,誘導用戶下載並執行。類似案例並非首次,今年稍早 Solana 生態也曾出現偽裝交易機器人的 GitHub 專案,竊取用戶錢包憑證。
加密貨幣交易跟單機器人本意是讓用戶自動跟隨頂尖交易者的操作,尤其在 Binance、Polymarket 等平台頗受歡迎。然而,第三方 GitHub 工具往往要求用戶輸入私鑰或 API 金鑰,本身即存在極高風險。安全專家提醒,正規跟單功能應優先使用交易所內建工具,如 Binance 的官方 Copy Trading,避免第三方開源專案。
SlowMist 等機構呼籲用戶:
- 絕不從 GitHub 下載需輸入私鑰的交易機器人。
- 若需測試開源工具,應在虛擬環境或小額測試帳戶執行,並由專業人士審核程式碼。
- 提高對社群推薦連結的警覺,詐騙集團常在 Telegram、Discord 等平台推廣此類工具。
此類詐騙不僅限於 Polymarket,過往 Binance 及 Solana 相關跟單機器人也曾傳出類似事件。加密貨幣投資本就波動劇烈,搭配未經驗證的第三方工具,更易導致資產全損。警方及 165 反詐騙專線亦提醒,遇可疑投資機會應立即查證。
加密貨幣社群用戶應保持警惕,優先選擇官方渠道進行交易,以保障資產安全。
本 網站/平台 內所有的資訊內容並不反映任何 crypto.xeb.app 之立場或意見。
