Фьючерсы
Доступ к сотням фьючерсов
TradFi
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Начало фьючерсов
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Launchpad
Будьте готовы к следующему крупному токен-проекту
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Доход от волатильности рынка
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
Предупреждение о безопасности: Кража приватных ключей через скомпрометированные зависимости на GitHub
Обнаружена серьезная угроза безопасности, которая затрагивает разработчиков на платформе GitHub. Проект polymarket-copy-trading-bot был скомпрометирован с помощью вредоносного кода, автоматически похищающего приватные ключи кошельков пользователей при инициализации приложения. Этот инцидент представляет значительную угрозу для всех, кто установил или использовал этот репозиторий.
Как происходит кража ключей
Механизм атаки сложен, но эффективен. При запуске программы вредоносный код автоматически извлекает приватный ключ, хранящийся в файле .env пользователя. Эта чувствительная информация затем передается на контролируемые злоумышленниками серверы через, казалось бы, легитимный пакет зависимости: @easynode/ethers-utils.
Атака использует доверие разработчиков к библиотекам npm. Интегрируя этот скомпрометированный пакет, вредоносный код выполняется тихо и незаметно для пользователя, похищая их наиболее ценные криптографические данные.
Обнаружение вредоносного кода
Вредоносный пакет, используемый в этой атаке, идентифицируется как @easynode/ethers-utils. Его основная цель — перехватить приватный ключ до его использования легитимным приложением. После похищения информация передается зашифрованной формой на серверы злоумышленников, что дает им полный доступ к цифровым активам жертвы.
Этот метод внедрения кода в зависимости особенно опасен, поскольку многие разработчики не проверяют исходный код всех импортируемых библиотек, что облегчает распространение угроз безопасности.
Рекомендации по защите ваших активов
Если вы использовали проект polymarket-copy-trading-bot, необходимо немедленно принять меры. Во-первых, остановите все запуски программы и проверьте файлы .env на предмет компрометации ваших ключей. Учтите, что любые кошельки, связанные с этими учетными данными, могут находиться под угрозой.
В качестве дополнительной меры предосторожности перед установкой любого пакета npm проверьте его репутацию, изучите историю обновлений и включенные зависимости. Используйте инструменты анализа безопасности, которые могут обнаружить вредоносный код в зависимостях до их выполнения в вашей среде.
Эта тревога подчеркивает важность соблюдения надежных практик управления секретами и проверки кода в проектах разработки. Сообщество GitHub должно оставаться бдительным в отношении подобных угроз компрометации зависимостей.