Polymarket Copy Trading Bots, викриті у поширенні шкідливого коду, спрямованого на приватні ключі

Дослідники з безпеки в SlowMist Technology опублікували критичне попередження щодо небезпечної загрози, яка ховається у торгових додатках, пов’язаних з Polymarket. За повідомленнями наприкінці грудня 2024 року, розробник створив програму бота для копіювання торгівлі, яка містить прихований зловмисний код, спрямований на компрометацію безпеки гаманця користувача. Цей інцидент підкреслює зростаючу тенденцію атак через ланцюг постачання у криптовалютній екосистемі.

Як працює атака: Ін’єкція коду на основі GitHub

Атака починається там, де зазвичай працюють розробники — на GitHub, де відкрито обмінюються кодовими репозиторіями. Зловмисний код навмисно був вставлений у вихідний код бота для копіювання торгівлі Polymarket, замаскований серед легітимних функцій. Що робить цю атаку особливо підступною, — це методологія зловмисника: зловмисні компоненти поширювалися через кілька комітів у коді, що значно ускладнювало їх виявлення для аудиторів безпеки та випадкових рецензентів коду.

Після запуску скомпрометована програма виконує, здавалося б, безпечну дію — вона зчитує файл користувача “.env”, який зазвичай використовується у розробці для зберігання конфіденційних даних, включаючи приватні ключі гаманця. Однак замість простої обробки локальних даних, програма негайно передає ці дані на зовнішні сервери, контрольовані зловмисником, фактично крадучи приватні ключі, що дають повний доступ до криптоактивів користувача.

Крадіжка приватних ключів через експлуатацію конфігураційного файлу

Цей вектор атаки використовує фундаментальну довіру у спільноті розробників: що репозиторії з кодом безпечні, а завантажені відкриті проекти не містять навмисних загроз. Стратегія зловмисника — постійно змінювати та повторно комітити код у GitHub, що виконувало дві функції: ускладнювало виявлення зловмисного коду під час однієї перевірки та створювало кілька «версій» загрози, які могли уникнути статичного аналізу.

Експлуатація файлу .env особливо небезпечна, оскільки багато розробників зберігають у ньому свої найчутливіші дані, вважаючи його локальним засобом безпеки, що не потребує шифрування. Користувачі, які завантажували бота, не мали підозри, що запуск програми може призвести до витоку їхніх приватних ключів на віддалені сервери зловмисників.

Попередження від SlowMist Security: повторювані загрози

23pds, головний фахівець з інформаційної безпеки в SlowMist Technology, підкреслив, що ця ситуація є частиною тривожної тенденції. Його заява: «Це не перший раз, і це не буде останній», — підкреслює, що атаки через ланцюг постачання та ін’єкція зловмисного коду стали систематичними загрозами, а не ізольованими випадками.

Залучення SlowMist є важливим, оскільки компанія зарекомендувала себе як довірений голос у сфері безпеки криптовалют, регулярно виявляючи вразливості та загрози, які інакше могли залишитися непоміченими. Готовність публічно повідомляти про цю загрозу демонструє серйозність оцінки цієї кампанії зловмисного коду.

Як захистити свій гаманець від зловмисних ботів і коду

Очевидно, що завантаження та запуск торгових ботів, автоматичних скриптів або будь-яких сторонніх інструментів вимагає ретельної перевірки. Користувачам рекомендується дотримуватися кількох захисних практик:

• Ретельно перевіряйте вихідний код перед запуском або консультуйтеся з досвідченими розробниками для аудиту коду на приховані загрози
• Ніколи не зберігайте приватні ключі або мнемонічні фрази у файлах .env або будь-яких незашифрованих локальних файлах
• Використовуйте апаратні гаманці або системи з ізольованим доступом для довгострокового зберігання активів, щоб мінімізувати ризик компрометації через зламане програмне забезпечення
• Регулярно моніторте активність гаманця на предмет несанкціонованих транзакцій, що можуть свідчити про попередню компрометацію ключів
• Будьте скептичними щодо рішень копіювання торгівлі, які вимагають доступу до приватних ключів або мнемонічних фраз — легітимні інструменти зазвичай використовують API-ключі з обмеженими дозволами

Здатність спільноти безпеки виявляти та попереджати про зловмисний код залишається важливим захисним механізмом, але в кінцевому підсумку, особиста обережність і обережна оцінка програмного забезпечення залишаються найефективнішими засобами протидії цим еволюціонуючим загрозам.