SlowMistは、GitHubプラットフォーム上で広く利用されているオープンソースプロジェクト「Solana-pumpfun-bot」に、ユーザーのウォレットから暗号通貨を盗むコードが含まれていることを明らかにした。.
調査は2025年7月2日に開始されました。被害者がSlowMistセキュリティチームに連絡し、ウォレット資産の盗難理由の分析に協力を求めました。.
このdent、彼が前日にGitHubでホストされていたオープンソースプロジェクトを利用したことが原因で発生し、そこで暗号化された資産が盗まれました。SlowMistによると、盗まれた資金はFixedFloat取引所に移送されているとのことです。
ハッカーは攻撃を実行するために、公式オープンソースプロジェクト(solana-pumpfun-bot)を装い、悪意のあるコードをダウンロードさせて実行させようとしました。調査の結果、「crypto-layout-utils」という疑わしいdent パッケージが公式NPMソースから削除されていたことが判明しました。.
その後、ハッカーは元のダウンロードURLの代わりに悪意のあるソフトウェアのバージョンをアップロードしました。そして、被害者のPC上でウォレット関連のファイルを検索した後、機密データを攻撃者が管理するサーバーに送信しました。.
調査の結果、プロジェクト作成者が複数のGitHubアカウントを所有している疑いがあることも判明しました。これらのアカウントは、悪意のあるプロジェクトのフォーク、悪意のあるプログラムの配布、そしてプロジェクトの人気度を人為的に高めるために使用されていました。同様の悪意のある行為を行う複数のフォークプロジェクトがdentされており、その中には別の悪意のあるパッケージ「bs58-encrypt-utils」を使用しているものもありました。.
攻撃チェーン全体は、複数のGitHubアカウントが連携して行われています。これにより、拡散範囲が拡大し、信頼性が高まり、非常に巧妙な欺瞞行為となっています。同時に、この攻撃はソーシャルエンジニアリングと技術的手段の両方を用いており、組織内で完全に防御することは困難です。.
悪意のある活動は2025年6月12日に開始されたと考えられています。このとき、攻撃者は悪意のあるパッケージ「bs58-encrypt-utils」を作成しました。.
暗号ハッキングはそれほど進歩していないが、より巧妙になっている
スローミストによると、暗号資産ハッキングの技術はそれほど進歩していないものの、はるかに巧妙になっているという。スローミストのオペレーション責任者ある同社の第2四半期の「Trac・トラック盗難資金分析」レポートの中で、ハッキング技術の進歩は見られないものの、詐欺行為はより巧妙化していると。
偽のブラウザ拡張機能、改ざんされたハードウェアウォレット、ソーシャルエンジニアリング攻撃が増加しています。 「純粋なオンチェーン攻撃からオフチェーンのエントリーポイントへの明確な移行が見られます。ブラウザ拡張機能、ソーシャルメディアアカウント、認証フロー、そしてユーザーの行動はすべて、一般的な攻撃対象になりつつあります」とリサは述べています。
例えば、攻撃者はユーザーをNotionやZoomといったよく知られたウェブサイトに誘導します。ユーザーがこれらの公式サイトからソフトウェアをダウンロードしようとすると、配信されるファイルは既に悪意のある方法で置き換えられています。.
もう一つの手口は、ハッカーがユーザーに不正アクセスしたコールドウォレットを送りつけることです。ハッカーは被害者に対し、「抽選」で無料デバイスが当たったと偽ったり、既存のデバイスが不正アクセスされたため資産を移す必要があると伝えたりします。さらに、ハッカーは偽のウェブサイトを仕込んできます。.
最後の一撃は通常、操作です。 「攻撃者は、『危険な署名が検出されました』といったフレーズがユーザーをパニックに陥れ、性急な行動を取らせることを知っています。一度そのような感情状態が引き起こされると、リンクをクリックしたり機密情報を共有したりするなど、普段はしないような行動を取らせるのがずっと容易になります」とリサは言います。
Ethereumの最新バージョンに追加されたEIP-7702を悪用したハッキング手法が使用されました。別の攻撃では、複数のWeChatユーザーのアカウントが乗っ取られ、標的となりました。SlowMistによると、 2025年上半期のセキュリティ損失においてEthereum DeFiプラットフォームは約4億7000万ドルの損失を被りました。
