Polymarket复制交易机器人被发现传播针对私钥的恶意代码

SlowMist科技的安全研究人员已发出关于Polymarket相关交易应用中潜藏的危险威胁的重大警报。据2024年12月下旬的报告，一名开发者创建了一个复制交易机器人程序，隐藏着旨在危害用户钱包安全的恶意代码。这一事件凸显了加密生态系统中供应链攻击日益增长的趋势。

攻击原理：基于GitHub的代码注入

攻击始于开发者常用的平台——GitHub，在这里代码仓库被公开共享。恶意代码被故意嵌入到Polymarket复制交易机器人的源代码中，伪装成合法功能。令人特别警惕的是攻击者的方法：恶意组件分散在多个提交中，使安全审计员和普通代码审查者难以检测到。

在执行时，被破坏的程序会执行一项看似无害的操作——读取用户的“.env”文件，这是开发环境中常用来存储敏感凭证（包括私钥）的配置文件。然而，程序并未仅仅访问本地数据，而是立即将这些凭证传输到由攻击者控制的外部服务器，有效窃取了授予完全访问用户加密资产的私钥。

通过配置文件漏洞窃取私钥

此攻击手段利用了开发者社区的一个基本信任假设：代码仓库是安全的，下载的开源项目不会包含故意隐藏的威胁。攻击者不断修改并重新提交代码到GitHub，起到了双重作用——不仅使恶意载荷更难在一次代码审查中被发现，还创建了多个“版本”的威胁，能够规避静态分析工具。

对“.env”文件的利用尤其危险，因为许多开发者将最敏感的凭证存放在此，视其为本地安全措施，不进行加密。下载该机器人程序的用户没有任何迹象表明运行后会将私钥暴露给远程攻击者。

SlowMist安全警报：反复出现的威胁警示

SlowMist科技的首席信息安全官23pds强调了这一安全警告，指出这一事件遵循一种令人担忧的模式。他的声明“这不是第一次，也不会是最后一次”，强调供应链攻击和恶意代码注入已成为系统性威胁，而非孤立事件。

SlowMist的介入意义重大，因为该公司已树立了在加密安全领域的可信声音，定期识别潜在漏洞和威胁，否则可能会被忽视。该组织愿意公开披露此威胁，显示出他们对这次恶意代码行动的严重程度的评估。

如何保护钱包免受恶意机器人和代码的侵害

结论很明确：下载和运行交易机器人、自动化脚本或任何第三方工具前都应进行严格审查。用户应采取多项防御措施：

• 在执行前彻底审查源代码，或咨询有经验的开发者进行代码审计以检测隐藏威胁
• 永远不要将私钥或助记词存放在“.env”文件或任何未加密的本地文件中
• 使用硬件钱包或隔离系统进行长期资产存储，减少被受损软件影响的风险
• 定期监控钱包活动，留意未授权的交易，可能表明私钥已被泄露
• 对需要私钥或助记词访问的复制交易方案保持怀疑——合法工具通常使用权限有限的API密钥

安全社区识别和警示恶意代码的能力仍是关键防线，但归根结底，个人的警觉性和谨慎的软件评估实践才是应对这些不断演变威胁的最有效保障。