SlowMist hat aufgedeckt, dass das weit verbreitete Open-Source-Projekt „Solana-pumpfun-bot“ auf der GitHub-Plattform Code enthält, der Kryptowährungen aus den Wallets seiner Nutzer stiehlt.
Die Untersuchung begann am 2. Juli 2025. Ein Opfer kontaktierte das Sicherheitsteam von SlowMist, um Hilfe bei der Analyse der Gründe für den Diebstahl seiner Wallet-Guthaben zu erhalten.
Der Vorfall dent sich, weil er am Vortag ein Open-Source-Projekt auf GitHub genutzt hatte, bei dem die verschlüsselten Daten gestohlen wurden. SlowMist werden die gestohlenen Gelder an die FixedFloat-Börse transferiert.
Um den Angriff durchzuführen, gab sich der Hacker als offizielles Open-Source-Projekt (solana-pumpfun-bot) aus, um Nutzer zum Herunterladen und Ausführen von Schadcode zu verleiten. Im Zuge der Untersuchung wurde festgestellt, dass ein verdächtigesdent Paket namens „crypto-layout-utils“ aus dem offiziellen NPM-Quellcode entfernt worden war.
Der Hacker lud anschließend eine manipulierte Version der Software anstelle der ursprünglichen Download-URL hoch. Nachdem er den PC des Opfers nach Wallet-bezogenen Dateien durchsucht hatte, übermittelte er sensible Daten an einen vom Angreifer kontrollierten Server.
Die Untersuchung ergab außerdem, dass der Projektautor im Verdacht steht, mehrere GitHub-Konten zu kontrollieren. Diese wurden genutzt, um schädliche Projekte zu forken, Schadprogramme zu verbreiten und die Popularität des Projekts künstlich zu steigern. Mehrere Fork-Projekte mit ähnlichem schädlichem Verhalten wurdendent; einige davon verwendeten das schädliche Paket „bs58-encrypt-utils“.
Die gesamte Angriffskette involviert mehrere zusammenarbeitende GitHub-Konten. Dadurch wurde die Reichweite der Verbreitung erhöht, die Glaubwürdigkeit gesteigert und die Täuschungsmanöver sind äußerst irreführend. Gleichzeitig nutzte dieser Angriff sowohl Social Engineering als auch technische Mittel, weshalb er innerhalb einer Organisation nur schwer vollständig abzuwehren ist.
Die schädliche Aktivität begann vermutlich am 12. Juni 2025. An diesem Tag erstellte der Angreifer das schädliche Paket „bs58-encrypt-utils“.
Krypto-Hacking hat sich nicht wesentlich weiterentwickelt; die Hacker sind nur raffinierter geworden
Laut Slowmist haben sich die Techniken des Krypto-Hackings zwar nicht wesentlich weiterentwickelt, sind aber deutlich raffinierter geworden. Lisa, die operative Leiterin von Slowmist, erklärte Trac “ des Unternehmens für das zweite Quartal , dass zwar keine Fortschritte bei den Hacking-Techniken selbst festzustellen seien, die Betrugsmaschen jedoch ausgefeilter geworden seien .
Es gibt einen Anstieg gefälschter Browsererweiterungen, manipulierter Hardware-Wallets und Social-Engineering-Angriffe. „Wir beobachten eine klare Verlagerung von reinen On-Chain-Angriffen hin zu Off-Chain-Einstiegspunkten – Browsererweiterungen, Social-Media-Konten, Authentifizierungsprozesse und das Nutzerverhalten entwickeln sich zu gängigen Angriffsflächen“, so Lisa.
Angreifer verleiten Nutzer beispielsweise dazu, bekannte und weit verbreitete Websites wie Notion oder Zoom zu besuchen. Versucht der Nutzer dann, Software von diesen offiziellen Seiten herunterzuladen, sind die heruntergeladenen Dateien bereits manipuliert worden.
Eine weitere Masche besteht darin, dass Hacker Nutzern eine manipulierte Cold Wallet zusenden. Sie geben ihren Opfern vor, bei einer „Lotterie“ ein kostenloses Gerät gewonnen zu haben, oder behaupten, ihr bestehendes Gerät sei kompromittiert und sie müssten ihre Guthaben transferieren. Noch perfider ist es, wenn Hacker gefälschte Websites einsetzen.
Der letzte Schlag ist meist Manipulation. „Angreifer wissen, dass Formulierungen wie ‚Risikoreiche Signatur erkannt‘ Panik auslösen und Nutzer zu überstürzten Handlungen verleiten können. Sobald dieser emotionale Zustand eintritt, lassen sie sich viel leichter dazu manipulieren, Dinge zu tun, die sie normalerweise nicht tun würden – wie beispielsweise auf Links zu klicken oder sensible Informationen preiszugeben“, sagte Lisa.
EIP-7702 ausnutzten , welche in der neuesten Version von Ethereum Pectra hinzugefügt wurde. Ein weiterer Angriff übernahm die Konten mehrerer WeChat-Nutzer und zielte auf diese ab. Laut SlowMist Ethereum im ersten Halbjahr 2025 die höchsten Sicherheitsverluste aller Ökosysteme; DeFi Plattformen verloren dabei rund 470 Millionen US-Dollar.
