Les meilleures analyses crypto directement dans votre boîte mail.
Les revendeurs de copies de Polymarket ont été mis en garde contre un code malveillant de vol de clés privées.
- Une alerte de sécurité a été émise concernant un code malveillant découvert dans un robot de copy trading Polymarket sur GitHub.
- Le code infecté permet potentiellement d'accéder aux clés privées des portefeuilles des utilisateurs, ce qui pourrait entraîner un vol de fonds.
- Il pourrait être nécessaire de se débarrasser des portefeuilles concernés, car il ne semble pas exister actuellement de mesures d'atténuation.
Des chercheurs et des entreprises spécialisés en sécurité ont mis en garde contre un robot de copie de trading open source populaire, Polymarket, hébergé sur GitHub.
Le bot a été créé par un développeur sous le pseudonyme « Trust412 » et contiendrait du code malveillant dissimulé dans plusieurs commits et dépendances.
SlowMist émet un avertissement de bot de trading Polymarket
Plus tôt dans la journée, le 21 décembre à 23h, le responsable de la sécurité des systèmes d'information de SlowMist a retweeté un avertissement d'un utilisateur de la communauté concernant un code malveillant dans un bot de copy trading Polymarket sur GitHub, posant des risques pour la sécurité.
Cetdent a rappelé à beaucoup que le marché des bots de cryptomonnaie présente encore de nombreuses vulnérabilités, c'est pourquoi l'examen minutieux des dépôts GitHub à la recherche de menaces cachées est désormais non négociable.
Selon le message avec lequel 23pds a interagi, ce code a été délibérément placé là, mais sa nature malveillante a été dissimulée tandis que l'auteur le révisait à plusieurs reprises pour s'assurer qu'il échappe à la détection.
Ce problème s'est produit dans plusieurs soumissions du dépôt « polymarket-copy-trading-bot », exposant potentiellement les utilisateurs à un vol de fonds.
Le code caché dans le programme du bot lui permettait de scanner et de lirematicles fichiers de configuration, d'tracles clés privées et de les transférer vers un serveur distant contrôlé par les pirates informatiques.
Les utilisateurs sont invités à faire preuve de prudence avec tout dépôt de code non audité. Dans sa publication, 23pds affirme que ce n'est pas la première fois que cette méthode est utilisée pour cibler GitHub et ses utilisateurs, et que ce ne sera pas le dernier incident de cedent.
Comment éviter les failles de sécurité liées aux clés privées
L'élément le plus crucial concernant ce type d'exploitation est qu'elle repose sur l'initiative de l'individu pour déclencher le processus, ce qui signifie qu'une prudence accrue contribuerait grandement à éviter que les cas ne se reproduisent.
Cette faille est une attaque classic de la chaîne d'approvisionnement ciblant les outils open source. Elle exige que les utilisateurs installent d'abord le bot, ce que beaucoup font pour tenter de copier les traders performants sur Polymarket. Ces utilisateurs saisissent alors leurs clés privées pour signer les transactions, les exposant ainsi à leur insu.
Toute personne se trouvant dans une telle situation est invitée à supprimer immédiatement le dépôt s'il a été téléchargé, à considérer que tout portefeuille qui y est lié a été compromis et à transférer tous ses fonds vers un nouveau portefeuille le plus rapidement possible.
n'arrange rien dépôts de bots Polymarket. Il est donc devenu crucial d'examiner attentivement les scripts de trading tiers par mesure de précaution.
Il convient de noter que la plateforme Polymarket n'a pas été piratée ; les bots qui ont causé ces ravages sont non officiels, ce qui représente un risque élevé puisqu'ils nécessitent un accès direct aux clés privées des utilisateurs.
Les plus grands experts en cryptomonnaies lisent déjà notre newsletter. Envie d'en faire partie ? Rejoignez-les!
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Hannah Collymore
Hannah est rédactrice et éditrice, forte d'une expérience de près de dix ans dans la rédaction de blogs et la couverture d'événements. Diplômée en administration des affaires de l'université Arcadia, elle travaille actuellement pour Cryptopolitan, où elle contribue à la couverture des dernières actualités des secteurs des cryptomonnaies, des jeux vidéo et de l'intelligence artificielle.
LES
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)