Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.
I copy trader di Polymarket sono stati avvisati del codice dannoso che ruba le chiavi private
- È stato emesso un avviso di sicurezza in merito al codice dannoso trovato in un bot di copy-trading di Polymarket su GitHub.
- Il codice infetto consente potenzialmente l'accesso alle chiavi private del portafoglio degli utenti, il che potrebbe portare al furto di fondi.
- Potrebbe essere necessario eliminare i portafogli interessati, poiché al momento non sembrano esserci misure di mitigazione.
Ricercatori e aziende orientate alla sicurezza hanno lanciato l'allarme su un popolare bot di copy trading open source, Polymarket, ospitato su GitHub.
Il bot è stato creato da uno sviluppatore con lo pseudonimo "Trust412" e, a quanto pare, contiene codice dannoso nascosto in più commit e dipendenze.
SlowMist emette un avviso sul bot di trading Polymarket
Nella giornata di oggi, 21 dicembre, alle 23:00, il responsabile della sicurezza informatica di SlowMist ha ritwittato un avviso di un utente della community riguardante un codice dannoso presente in un bot di copy-trading di Polymarket su GitHub, che rappresenta un rischio per la sicurezza.
L'incidentedent ricordato a molti che il mercato dei cryptobot presenta ancora numerose vulnerabilità, motivo per cui è ormai imprescindibile esaminare attentamente i repository GitHub alla ricerca di minacce nascoste.
Secondo il post con cui ha interagito 23pds, questo codice è stato inserito deliberatamente, ma la sua natura dannosa è stata mascherata mentre l'autore lo ha revisionato ripetutamente per assicurarsi che non venisse rilevato.
Ciò si è verificato in più invii nel repository “polymarket-copy-trading-bot”, esponendo potenzialmente gli utenti al furto di fondi.
Il codice nascosto nel programma del bot gli permetteva di scansionare e leggerematici file di configurazione,tracle chiavi private e trasferirle a un server remoto controllato dagli hacker.
Si invitano gli utenti a prestare attenzione a qualsiasi repository di codice non verificato. Nel post di 23pds, l'autore ha affermato che questa non è la prima volta che questo metodo viene utilizzato per colpire GitHub e i suoi utenti e che non sarà l'ultimo di talident.
Come evitare gli exploit della chiave privata
L'aspetto più cruciale di questa forma di exploit è che spetta all'individuo avviare il processo, il che significa che una maggiore cautela sarebbe molto utile per prevenire il ripetersi di casi simili.
L'exploit è un classic attacco alla supply chain contro strumenti open source. Richiede agli utenti di installare prima il bot, cosa che molti fanno nel tentativo di copiare i trader di successo su Polymarket. Questi utenti inseriscono le proprie chiavi private per firmare le transazioni, esponendole così inconsapevolmente.
Chiunque si trovi in una situazione simile è invitato a eliminare immediatamente il repository se è stato scaricato, a presumere che qualsiasi portafoglio ad esso collegato sia stato compromesso e a spostare tutti i fondi su uno nuovo il più rapidamente possibile.
Inoltre, il fatto che problemi simili siano emersi in altri repository di bot di Polymarket non aiuta . Quindi è diventato fondamentale esaminare attentamente gli script di trading di terze parti per essere sicuri.
È opportuno sottolineare che la piattaforma Polymarket non è stata hackerata; i bot che hanno causato questo caos sono bot non ufficiali, che presentano rischi elevati poiché richiedono l'accesso diretto alle chiavi private degli utenti.
Le menti più brillanti del mondo delle criptovalute leggono già la nostra newsletter. Vuoi partecipare? Unisciti a loro.
Disclaimer. Le informazioni fornite non costituiscono consulenza di trading. Cryptopolitan/ non si assume alcuna responsabilità per gli investimenti effettuati sulla base delle informazioni fornite in questa pagina. Consigliamotronvivamente di effettuare ricerche indipendentident di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.
Hannah Collymore
Hannah è una scrittrice e redattrice con quasi dieci anni di esperienza nella scrittura di blog e nella cronaca di eventi nel settore delle criptovalute. Collabora con Cryptopolitan, occupandosi della pagina notizie e analizzando gli ultimi sviluppi in ambito DeFi, RWA, regolamentazione delle criptovalute, intelligenza artificiale e tecnologie all'avanguardia. Si è laureata in Economia aziendale presso l'Università di Arcadia.
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)