Los mejores análisis sobre criptomonedas directamente en tu bandeja de entrada.
Se advierte a los comerciantes de copias de Polymarket sobre un código malicioso que roba claves privadas
- Se ha emitido una alerta de seguridad sobre un código malicioso encontrado en un bot de copia de comercio de Polymarket en GitHub.
- El código infectado permite el acceso potencial a las claves privadas de las billeteras de los usuarios, lo que podría conducir al robo de fondos.
- Es posible que sea necesario deshacerse de las billeteras afectadas, ya que no parece haber medidas de mitigación actualmente.
Investigadores y empresas orientadas a la seguridad han advertido sobre un popular bot de copia de comercio de código abierto, Polymarket, alojado en GitHub.
El bot fue creado por un desarrollador bajo el nombre de usuario “Trust412” y, según se informa, contiene código malicioso oculto en múltiples confirmaciones y dependencias.
SlowMist emite una advertencia sobre el bot comercial de Polymarket
Hoy mismo, 21 de diciembre a las 23:00, el director de seguridad de la información de SlowMist retuiteó una advertencia de un usuario de la comunidad sobre un código malicioso en un bot de copy trading de Polymarket en GitHub, que plantea riesgos de seguridad.
El incidentedent recordado a muchos que el mercado de bots de criptomonedas aún tiene muchas vulnerabilidades, por lo que examinar los repositorios de GitHub en busca de amenazas ocultas ahora es algo innegociable.
Según la publicación con la que interactuó 23pds, este código se colocó allí deliberadamente, pero su naturaleza maliciosa quedó disfrazada mientras el autor lo revisaba repetidamente para asegurarse de que evadiera la detección.
Esto ocurrió en múltiples envíos al repositorio “polymarket-copy-trading-bot”, exponiendo potencialmente a los usuarios al robo de fondos.
El código oculto en el programa del bot hacía que éste escaneara y leyeramaticlos archivos de configuración,tracclaves privadas y las transfiriera a un servidor remoto controlado por los piratas informáticos.
Se insta a los usuarios a tener cuidado con cualquier repositorio de código no auditado. En la publicación de 23pds, este afirmó que esta no es la primera vez que se utiliza este método para atacar a GitHub y a sus usuarios, y que no será la última vez quedentsimilares.
Cómo evitar las vulnerabilidades de seguridad de la clave privada
Lo más importante de esta forma de explotación es que depende del individuo iniciar el proceso, lo que significa que una precaución adicional sería de gran ayuda para evitar que se repitan casos.
El exploit es un ataque classic a la cadena de suministro contra herramientas de código abierto. Requiere que los usuarios instalen primero el bot, lo que muchos hacen para copiar a los operadores exitosos en Polymarket. Estos usuarios introducen sus claves privadas para firmar las operaciones, exponiéndose así sin saberlo.
Se recomienda a cualquiera que se encuentre en tal situación que elimine inmediatamente el repositorio si lo ha descargado, asuma que cualquier billetera vinculada a él se ha visto comprometida y mueva todos los fondos a uno nuevo lo más rápido que sea posible.
Tampoco ayuda que hayan surgido problemas similares en otros repositorios de bots de Polymarket. Por lo tanto, es crucial analizar minuciosamente los scripts de trading de terceros para mayor seguridad.
Cabe señalar que la plataforma Polymarket no ha sido hackeada, los bots que han estado causando estos estragos son no oficiales, lo que supone altos riesgos ya que requieren acceso directo a las claves privadas de los usuarios.
Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete!
Aviso legal. La información proporcionada no constituye asesoramiento comercial. Cryptopolitanconsultar no se responsabiliza de las inversiones realizadas con base en la información proporcionada en esta página. Recomendamostronencarecidamente realizar una investigación independientedent un profesional cualificado antes de tomar cualquier decisión de inversión.
Hannah Collymore
Hannah es escritora y editora con casi una década de experiencia en la redacción de blogs y la cobertura de eventos. Se graduó de la Universidad de Arcadia, donde estudió Administración de Empresas. Actualmente trabaja en Cryptopolitan, donde colabora en la cobertura de los últimos avances en las industrias de las criptomonedas, los videojuegos y la IA.
CURSO
- ¿Qué criptomonedas pueden hacerte ganar dinero?
- Cómo mejorar tu seguridad con una billetera (y cuáles realmente vale la pena usar)
- Estrategias de inversión poco conocidas que utilizan los profesionales
- Cómo empezar a invertir en criptomonedas (qué plataformas de intercambio usar, las mejores criptomonedas para comprar, etc.)