Sebuah peringatan keamanan yang kritis telah muncul untuk pengguna Polymarket setelah bot copy-trading yang dihosting di GitHub ditemukan mengandung malware yang tersembunyi.

Kode jahat ini dirancang untuk mencuri kunci privat dompet dengan mengakses file .env lokal, memungkinkan penyerang untuk segera menguras dana pengguna.

Para peneliti keamanan memperingatkan bahwa perangkat lunak pihak ketiga yang tidak diaudit dalam ekosistem kripto membawa risiko yang signifikan.

Sementara bot perdagangan dapat menawarkan kenyamanan dan otomatisasi, insiden ini menggambarkan bagaimana penyerang yang canggih dapat menyembunyikan fungsi berbahaya di bawah alat yang tampak sah.

Pengguna kripto disarankan untuk memverifikasi sumber perangkat lunak, menghindari mengekspos kunci privat, dan mengadopsi platform yang aman untuk perdagangan dan investasi.

Jika Anda tertarik dalam trading kripto, eksplorasiBitruedan meningkatkan pengalaman Anda. Bitrue berkomitmen untuk menyediakan layanan yang aman, nyaman, dan beragam untuk memenuhi semua kebutuhan crypto, termasuk trading, investasi, pembelian, staking, meminjam, dan lainnya.

Poin Penting

1. Sebuah bot copy-trading Polymarket di GitHub mengandung malware yang mencuri kunci pribadi dompet.

2. Kode tersebut menargetkan file .env lokal, mentransmisikan kredensial ke server penyerang.

3. Insiden ini menyoroti pentingnya menghindari perangkat lunak crypto pihak ketiga yang tidak diaudit.

Kode Jahat dalam Bot Polymarket

Peneliti keamanan, termasuk CISO 23pds dari SlowMist, mengungkapkan bahwaPolymarketbot copy-trading di GitHub berisi kode jahat yang sengaja disembunyikan.

Fungsi bot, yang menyamar sebagai validate_mcp, secara otomatis dijalankan saat startup. Tujuan sebenarnya adalah untuk membaca file .env pengguna dan mentransmisikan kunci pribadi ke server yang dikendalikan oleh penyerang.

Bagaimana Malware Beroperasi

• Membaca file .env di sistem lokal pengguna

• Mengambil kunci privat yang disimpan untuk akses dompet

• Mengirimkan kunci ke server jarak jauh untuk akses tanpa izin

• Mengizinkan pencurian total dana pengguna

Kode berbahaya ditemukan di baris tertentu dari src/index.ts dan di file package.json, dikemas di bawah excluder-mcp-package@1.0.4. Riwayat komit Git menunjukkan revisi berulang untuk menyembunyikan tujuan sebenarnya, menunjukkan upaya sengaja untuk menyembunyikan malware tersebut.

Baca Juga: 

Cara Membuat Perdagangan Pertama Anda yang Menguntungkan di Polymarket: Panduan Lengkap

```

Risiko Menggunakan Bot Kripto Pihak Ketiga

Insiden bot Polymarket menekankan bahaya alat pihak ketiga yang tidak diaudit di dalamkeuangan terdesentralisasiekosistem.

Sementarabot copy-trading

dapat menyederhanakan perdagangan, mereka juga dapat berfungsi sebagai kuda Trojan untuk aktor jahat. Pengguna yang mempercayakan perangkat lunak semacam itu dengan kunci pribadi mengekspos diri mereka pada kerugian yang tidak dapat diperbaiki.

Pelajaran Keamanan

• Selalu lakukan audit atau gunakan perangkat lunak pihak ketiga yang terverifikasi

• Jangan pernah menyimpan kunci pribadi di file yang dapat diakses oleh program eksternal.

•  

  Berhati-hatilah dengan paket yang memiliki nama fungsi yang kabur atau generik

   

Insiden seperti ini mengikis kepercayaan pada alat otomatis di sekitar platform kripto dan menekankan pentingnya kebiasaan perdagangan yang aman. Pengguna kripto harus memprioritaskan keselamatan daripada kenyamanan untuk menghindari jatuh korban malware tersembunyi.

Baca Juga:Apa itu Polymarket? Pasar Prediksi Berbasis Crypto dan Blockchain

Bagaimana Melindungi Aset Kripto Anda

Perdagangan crypto dapat mengambil langkah-langkah proaktif untuk mengurangi risiko saat menggunakanalat perdagangan.

Langkah-Langkah Praktis

• Gunakan dompet perangkat keras atau sistem manajemen kunci yang aman.

• Hanya unduh perangkat lunak trading dari repositori resmi

• Pantau riwayat komit Git dan ulasan untuk perubahan yang mencurigakan

• Hindari memberikan aplikasi pihak ketiga akses ke kunci pribadi

• Tetap perbarui perangkat lunak dan sistem untuk mengurangi kerentanan yang diketahui.

Dengan mengikuti praktik-praktik ini, pengguna dapat menjelajahi fitur otomatisasi seperti copy-trading dengan aman sambil meminimalkan paparan terhadap kode berbahaya. Kesadaran dan kehati-hatian adalah pertahanan utama di dalam lanskap keuangan terdesentralisasi.

Baca Juga:Bagaimana Cara Mengatur Bot Trading di Bitrue: Panduan Lengkap untuk 2025

Kesimpulan

Penemuan malware dalam bot copy-trading Polymarket di GitHub adalah pengingat yang jelas bahwa kemudahan dalam trading kripto datang dengan risiko serius.

Kode jahat yang menargetkan file .env menyoroti bagaimana penyerang dapat memanfaatkan perangkat lunak yang tidak diaudit untuk mencuri kunci pribadi dan menguras dana.

Pengguna harus waspada, memverifikasi semua aplikasi pihak ketiga, dan mengadopsi praktik keamanan untuk melindungi aset mereka.

Platform seperti Bitruemenyediakan alternatif yang lebih aman untuk perdagangan aset digital, menggabungkan likuiditas yang dalam, keamanan yang kuat, dan kemudahan penggunaan.

Dengan mengandalkan platform yang tepercaya dan menghindari bot pihak ketiga yang berisiko, para trader dapat fokus pada pertumbuhan portofolio kripto mereka tanpa membahayakan dana mereka.

FAQ

The Polymarket bot malware is designed to automate trading on the Polymarket platform, which is a decentralized prediction market where users can place bets on the outcome of various events. The malware can potentially manipulate trades, steal user credentials, and create false market signals, leading to financial losses for unsuspecting users. Its presence raises concerns about the security of trading platforms and the need for better protection against such threats.

Itu mencuri kunci privat dompet pengguna dengan membaca file .env lokal dan mengirimkannya ke server yang dikuasai penyerang.

Bagaimana kode berbahaya itu disembunyikan?

Malware tersebut disamarkan sebagai fungsi yang disebut validate_mcp dan secara berulang kali direvisi untuk menghindari deteksi dalam komit GitHub.

Siapa pengguna yang berisiko?

Siapa pun yang menggunakan bot copy-trading Polymarket yang belum diaudit dengan kunci pribadi disimpan secara lokal berisiko.

Bagaimana pengguna crypto dapat melindungi diri mereka?

Gunakan perangkat lunak yang terverifikasi, simpan kunci pribadi dengan aman, hindari mengekspos kunci ke program pihak ketiga, dan pantau repositori untuk aktivitas mencurigakan.

Apakah ada alternatif yang lebih aman untuk bot pihak ketiga?

Ya, platform yang diatur seperti Bitrue menawarkan perdagangan yang aman dengan perlindungan yang kuat, menghilangkan kebutuhan akan bot yang berpotensi tidak aman.

Disclaimer: Pandangan yang diungkapkan sepenuhnya milik penulis dan tidak mencerminkan pandangan platform ini. Platform ini dan afiliasinya menangguhkan setiap tanggung jawab atas akurasi atau kesesuaian informasi yang diberikan. Ini hanya untuk tujuan informasi dan bukan dimaksudkan sebagai nasihat keuangan atau investasi.