事件概述
GitHub上一个名为 polymarket-copy-trading-bot 的“跟单机器人”项目被证实为恶意软件。该项目会窃取用户的加密货币钱包私钥,导致资产被盗。

恶意行为分析

  1. 窃取私钥:程序启动时,会自动读取用户项目根目录下的 .env 配置文件,获取其中保存的钱包私钥。
  2. 数据外传:窃取的私钥通过一个名为 excluder-mcp-package@1.0.4 的隐藏恶意依赖包,秘密传输至黑客控制的服务器。

安全建议

  • 在克隆或运行任何第三方,尤其是涉及加密货币和私钥管理的开源项目前,务必仔细审查代码及其依赖项。
  • 切勿在 .env 等配置文件中存放高价值的主钱包私钥。

🔥 实时行情点位,群内抢先看!

进群蹲精准做单提示→青岚免费交易社群 (电报)

以上仅为青岚姐个人观点,不作为投资建议,交易需谨慎|本文由青岚加密课堂整理优化