SlowMist descobre que o bot 'Solana-pumpfun-bot' no GitHub contém uma armadilha para roubo de moedas

A SlowMist revelou que o projeto de código aberto amplamente utilizado "Solana-pumpfun-bot" na plataforma GitHub contém um código que rouba criptomoedas das carteiras de seus usuários. 

A investigação teve início em 2 de julho de 2025. Uma vítima contatou a equipe de segurança da SlowMist para solicitar auxílio na análise dos motivos do roubo dos fundos de sua carteira. 

Odent foi causado pelo uso, por parte dele, de um projeto de código aberto hospedado no GitHub no dia anterior, de onde os ativos criptografados foram roubados. A SlowMist afirma que os fundos roubados estão sendo transferidos para a corretora FixedFloat.

O autor do projeto é o principal suspeito

Para realizar o ataque, o hacker se fez passar por um projeto oficial de código aberto (solana-pumpfun-bot) para induzir as pessoas a baixar e executar o código malicioso. Um pacotedent suspeito, chamado "crypto-layout-utils", foi identificado como tendo sido removido do repositório oficial do NPM durante a investigação.

O hacker, em seguida, carregou uma versão maliciosa do software no lugar do URL de download original. Após vasculhar o computador da vítima em busca de arquivos relacionados à carteira digital, o programa enviou dados confidenciais para um servidor controlado pelo atacante.

A investigação também descobriu que o autor do projeto é suspeito de controlar várias contas do GitHub. Elas eram usadas para criar forks de projetos maliciosos, distribuir programas maliciosos e inflar artificialmente a popularidade do projeto. Vários projetos fork com comportamento malicioso semelhante foramdent, alguns dos quais usavam outro pacote malicioso, o “bs58-encrypt-utils”.

Toda a cadeia de ataque envolve diversas contas do GitHub trabalhando em conjunto. Isso ampliou o alcance da disseminação, aumentou a credibilidade e é extremamente enganoso. Ao mesmo tempo, esse ataque utilizou tanto engenharia social quanto meios técnicos, sendo difícil a defesa completa contra ele dentro de uma organização.

Acredita-se que a atividade maliciosa tenha começado em 12 de junho de 2025. Foi nessa data que o atacante criou o pacote malicioso “bs58-encrypt-utils”. 

A pirataria de criptomoedas não evoluiu muito; os hackers apenas se tornaram mais astutos

Segundo a Slowmist, as técnicas de hacking de criptomoedas não evoluíram muito, mas tornaram-se muito mais sofisticadas. Lisa, chefe de operações da SlowMist, afirmou no relatório de análise de fundos roubados do segundo trimestre da empresa, MistTrac, que, embora não tenha havido um avanço nas técnicas de hacking, os golpes se tornaram mais refinados. 

Há um aumento de extensões de navegador falsas, carteiras de hardware adulteradas e ataques de engenharia social. "Estamos vendo uma mudança clara de ataques puramente on-chain para pontos de entrada off-chain — extensões de navegador, contas de mídia social, fluxos de autenticação e comportamento do usuário estão se tornando superfícies de ataque comuns", disse Lisa. 

Por exemplo, os atacantes induzem os usuários a visitar sites conhecidos e amplamente utilizados, como o Notion ou o Zoom. Quando o usuário tenta baixar o software desses sites oficiais, os arquivos fornecidos já foram substituídos maliciosamente. 

Outra forma é quando hackers enviam aos usuários uma carteira fria comprometida. Eles dizem às vítimas que elas ganharam um dispositivo gratuito em um "sorteio" ou que o dispositivo que elas já possuem foi comprometido e que precisam transferir seus ativos. Pior ainda, os hackers criaram sites falsos. 

O golpe final geralmente é a manipulação. "Os atacantes sabem que frases como 'assinatura de risco detectada' podem desencadear pânico, levando os usuários a tomarem atitudes precipitadas. Uma vez que esse estado emocional é ativado, é muito mais fácil manipulá-los para que façam coisas que normalmente não fariam — como clicar em links ou compartilhar informações confidenciais", disse Lisa.

Outros ataques utilizaram métodos de hacking que exploraram a vulnerabilidade EIP-7702, adicionada na versão mais recente do Ethereum Pectra. Outro ataque assumiu o controle das contas de diversos usuários do WeChat e os teve como alvo. De acordo com a SlowMist, Ethereum liderou todos os ecossistemas em perdas de segurança no primeiro semestre de 2025, com DeFi perdendo cerca de US$ 470 milhões.