Polymarket Copy Trading Bots Tertangkap Menyebarkan Kode Berbahaya yang Menargetkan Kunci Pribadi

Para peneliti keamanan di SlowMist Technology telah mengeluarkan peringatan kritis terkait ancaman berbahaya yang mengintai dalam aplikasi perdagangan terkait Polymarket. Menurut laporan dari akhir Desember 2024, seorang pengembang membuat program bot trading salinan yang menyimpan kode berbahaya tersembunyi yang dirancang untuk mengompromikan keamanan dompet pengguna. Insiden ini menyoroti tren yang semakin meningkat dari serangan rantai pasokan dalam ekosistem cryptocurrency.

Cara Kerja Serangan: Injeksi Kode Berbasis GitHub

Serangan dimulai di tempat pengembang biasanya beroperasi—di GitHub, tempat repositori kode dibagikan secara terbuka. Kode berbahaya sengaja disisipkan ke dalam kode sumber bot trading salinan Polymarket, disamarkan di antara fungsi-fungsi yang sah. Yang membuat ini sangat berbahaya adalah metodologi pelaku serangan: komponen berbahaya disebar di berbagai commit kode, membuat deteksi menjadi jauh lebih sulit bagi auditor keamanan dan pengulas kode kasual.

Setelah dijalankan, program yang terkompromi melakukan tindakan yang tampaknya tidak berbahaya—ia membaca file “.env” pengguna, sebuah file konfigurasi yang umum digunakan dalam lingkungan pengembangan untuk menyimpan kredensial sensitif, termasuk kunci dompet pribadi. Namun, alih-alih hanya mengakses data lokal, program langsung mengirim kredensial ini ke server eksternal yang dikendalikan oleh pelaku serangan, secara efektif mencuri kunci pribadi yang memberikan akses penuh ke aset crypto pengguna.

Pencurian Kunci Pribadi Melalui Eksploitasi File Konfigurasi

Vektor serangan ini mengeksploitasi asumsi kepercayaan dasar dalam komunitas pengembang: bahwa repositori kode aman dan bahwa proyek open-source yang diunduh tidak akan mengandung ancaman tersembunyi secara sengaja. Strategi pelaku serangan yang terus-menerus memodifikasi dan meng-commit ulang kode ke GitHub memiliki dua tujuan—tidak hanya membuat payload berbahaya lebih sulit dideteksi dalam satu tinjauan kode, tetapi juga menciptakan beberapa “versi” ancaman yang dapat mengelabui alat analisis statis.

Eksploitasi file .env sangat berbahaya karena banyak pengembang menyimpan kredensial paling sensitif di sana, menganggapnya sebagai langkah keamanan lokal saja yang tidak memerlukan enkripsi. Pengguna yang mengunduh program bot tidak memiliki indikasi bahwa menjalankan program tersebut akan mengekspos kunci pribadi mereka ke pelaku serangan jarak jauh.

Peringatan Keamanan SlowMist: Ancaman Berulang yang Perlu Diwaspadai

23pds, Chief Information Security Officer dari SlowMist Technology, memperkuat peringatan keamanan ini kepada komunitas yang lebih luas, menekankan bahwa insiden ini mengikuti pola yang mengkhawatirkan. Pernyataannya, “Ini bukan yang pertama, dan ini tidak akan yang terakhir,” menegaskan bahwa serangan rantai pasokan dan injeksi kode berbahaya telah menjadi ancaman sistematis daripada insiden terisolasi.

Intervensi SlowMist penting karena perusahaan ini telah membangun reputasi sebagai suara terpercaya dalam keamanan cryptocurrency, secara rutin mengidentifikasi kerentanan dan ancaman yang mungkin tidak terdeteksi. Kesediaan organisasi ini untuk mempublikasikan ancaman ini menunjukkan tingkat keparahan yang mereka nilai dari kampanye kode berbahaya ini.

Cara Melindungi Dompet Anda dari Bot dan Kode Berbahaya

Implikasinya jelas: mengunduh dan menjalankan bot trading, skrip otomatisasi, atau alat pihak ketiga apa pun memerlukan evaluasi yang ketat. Pengguna harus mengadopsi beberapa praktik pertahanan berikut:

• Tinjau kode sumber secara menyeluruh sebelum dijalankan, atau konsultasikan dengan pengembang berpengalaman yang dapat mengaudit kode untuk ancaman tersembunyi
• Jangan pernah menyimpan kunci pribadi atau seed phrase di file .env atau file lokal yang tidak dienkripsi
• Gunakan dompet perangkat keras atau sistem yang terisolasi secara fisik untuk penyimpanan aset jangka panjang, meminimalkan risiko dari perangkat lunak yang terkompromi
• Pantau aktivitas dompet secara rutin untuk transaksi yang tidak sah yang dapat menunjukkan kompromi kunci sebelumnya
• Bersikap skeptis terhadap solusi copy trading yang memerlukan akses kunci pribadi atau seed phrase—alat yang sah biasanya menggunakan API key dengan izin terbatas

Kemampuan komunitas keamanan untuk mengidentifikasi dan memperingatkan terhadap kode berbahaya terus menjadi mekanisme pertahanan penting, tetapi pada akhirnya, kewaspadaan individu dan praktik evaluasi perangkat lunak yang hati-hati tetap menjadi perlindungan paling efektif terhadap ancaman yang terus berkembang ini.