Polymarket 機器人惡意軟體如何在 GitHub 隱藏並竊取錢包密鑰

2025-12-22
Polymarket 機器人惡意軟體如何在 GitHub 隱藏並竊取錢包密鑰

一個重要的安全警報已經針對 Polymarket 用戶出現,因為一個託管在 GitHub 上的複製交易機器人被發現含有隱藏的惡意軟體。

這段惡意代碼旨在透過訪問本地的 .env 文件來盜取錢包私人密鑰,從而使攻擊者能夠立即提取用戶的資金。

安全研究人員警告說,加密生態系統中未經審核的第三方軟體存在重大風險。

雖然交易機器人可以提供便利和自動化,但這起事件表明,複雜的攻擊者如何能在看似合法的工具下隱藏惡意功能。

加密貨幣用戶應該驗證軟體來源,避免暴露私鑰,並選擇安全的平台進行交易和投資。

CN-1.png

如果您對加密貨幣交易感興趣,請探索Bitrue

並提升您的體驗。Bitrue 致力於提供安全、便捷且多樣化的服務,以滿足所有加密貨幣需求,包括交易、投資、購買、質押、借貸等。

 

關鍵要點

1. 一個在 GitHub 上的 Polymarket 複製交易機器人包含惡意軟體,用於竊取錢包私鑰。

2. 這段代碼針對本地的 .env 文件,將憑證傳送到攻擊者的伺服器。

3. 此事件突顯了避免使用未經審核的第三方加密軟體的重要性。

CN.png

在Polymarket機器人中的惡意代碼

Polymarket Bot Malware on GitHub Steals Wallet Private Keys

安全研究人員,包括SlowMist的首席信息安全官23pds,披露說該Polymarket在 GitHub 上的複製交易機器人包含故意隱藏的惡意代碼。

機器人的功能偽裝為 validate_mcp,會在啟動時自動執行。它的真正目的在於讀取用戶的 .env 檔案,並將私鑰傳送到攻擊者控制的伺服器。

惡意程式如何運作

  • 讀取用戶本地系統上的 .env 檔案

  • 提取儲存於錢包訪問的私鑰

  • 將金鑰發送到遠端伺服器以獲得未經授權的訪問

  • 允許完全盜取用戶資金

在 src/index.ts 的特定行和 package.json 檔案中發現了惡意代碼,這些代碼被封裝在 excluder-mcp-package@1.0.4 中。git 提交歷史顯示有重複的修訂,以掩蓋其真正目的,顯示出有意隱藏惡意軟體的努力。

另請參閱:如何在 Polymarket 上進行您的第一次獲利交易:完整指南

使用第三方加密機器人的風險

這個Polymarket機器人事件強調了未經審核的第三方工具在社群中的危險性。去中心化金融生態系統。

複製交易機器人可以簡化交易,但它們也可能成為惡意行為者的木馬。信任這類軟體處理私鑰的用戶,將自己置於不可逆的損失之中。

安全課程

  • 永遠審核或使用經過驗證的第三方軟體

  • 永遠不要將私鑰儲存在可以被外部程序訪問的文件中

  • 請小心那些具有不明或通用函數名稱的套件

類似事件削弱了人們對加密平台自動化工具的信任,並強調了安全交易習慣的重要性。加密使用者必須優先考慮安全性而非便利性,以避免成為隱藏惡意軟體的受害者。

也請參閱:什麼是 Polymarket?基於加密貨幣和區塊鏈的預測市場

如何保護你的加密資產

加密貨幣交易者可以採取主動措施來降低風險,同時使用交易工具您已接受截至2023年10月的資料訓練。

實用措施

  • 使用硬體錢包或安全的金鑰管理系統

  • 只能從官方庫下載交易軟體

  • 監控 Git 提交歷史和評審以尋找可疑變更

  • 避免讓第三方應用程式訪問私鑰

  • 保持軟體和系統更新,以減輕已知漏洞

通過遵循這些做法,用戶可以安全地探索像復製交易這樣的自動化功能,同時最小化對惡意代碼的暴露。在去中心化金融環境中,意識和謹慎是關鍵的防禦措施。

閱讀內容:如何在 Bitrue 上設置交易機器人:2025 完整指南

結論

在GitHub上發現的Polymarket複製交易機器人中的惡意軟體,提醒我們在加密交易中的便利性伴隨著嚴重的風險。

針對 .env 文件的惡意代碼突顯了攻擊者如何利用未經審核的軟體來竊取私鑰並耗盡資金。

使用者必須保持警覺,驗證所有第三方應用程式,並採用安全的做法以保護他們的資產。

平台如Bitrue提供一個更安全的數位資產交易替代方案,結合深度流動性、可靠的安全性和易用性。

透過依賴可信的平台和避免風險較高的第三方機器人,交易者可以專注於增長他們的加密貨幣投資組合,而不會危及他們的資金。

常見問題解答

Polymarket 機器人惡意軟件做了什麼?

它通過讀取本地的 .env 文件來盜取用戶的錢包私鑰,並將其發送到一個由攻擊者控制的伺服器上。

惡意代碼是如何隱藏的?

這個惡意軟體偽裝成一個名為 validate_mcp 的功能,並且不斷修訂以避免在 GitHub 提交中被檢測到。

哪些用戶處於風險中?

任何使用未經審核的 Polymarket 复制交易机器人並將私鑰存儲在本地的用戶都面臨風險。

如何保護加密貨幣使用者自己?

使用經過驗證的軟體,安全存儲私人密鑰,避免將密鑰暴露給第三方程式,並監控代碼庫以檢查可疑活動。

有沒有比第三方機器人更安全的替代選擇?

是的,像 Bitrue 這樣的受監管平台提供安全的交易,具備強大的保障,消除了對可能不安全的機器人的需求。

 

免責聲明:所表達的觀點僅屬於作者本人,並不代表本平台的觀點。本平台及其附屬機構對所提供信息的準確性或適用性不承擔任何責任。此信息僅供參考,並非財務或投資建議。

 

免責聲明:本文內容不構成財務或投資建議。

立即註冊以領取 1818 USDT 的新手禮包

加入 Bitrue 獲取獨家獎勵

立即註冊
register

推薦

將您的未使用網絡帶寬轉換為被動收入 — 方法在此
將您的未使用網絡帶寬轉換為被動收入 — 方法在此

將未使用的網絡帶寬轉換為被動收入。了解Honeygain的運作方式、您可以賺多少錢,以及獲得Wi-Fi報酬是否可靠。

2025-12-22閱讀
透過這些社交媒體賺錢應用程式賺取真實現金(2026年指南)
透過這些社交媒體賺錢應用程式賺取真實現金(2026年指南)

在2026年透過社交媒體賺錢應用程式賺取真實現金。探索支付真實金錢的應用程式、快速支付和創作者貨幣化策略。

2025-12-22閱讀
虛假加密貨幣利潤:iComTech 推廣者因重大詐騙案入獄
虛假加密貨幣利潤:iComTech 推廣者因重大詐騙案入獄

虛假加密貨幣利潤:iComTech 推廣者的入獄標誌著一宗重大加密貨幣詐騙定罪。本文解釋了 iComTech 加密貨幣詐騙和投資者的重要教訓。

2025-12-22閱讀