Achtung! Ein neuer GitHub-Trading-Bot kompromittiert Solana-Wallets
Krypto-Trading-Bots sind seit Monaten im Trend, allerdings steigt mit der wachsenden Beliebtheit auch das Risiko. Aktuell sorgt ein neuer Fall für Aufsehen: Ein angeblich nützlicher Trading-Bot kompromittiert die Wallets ahnungsloser Nutzer – und tarnt sich dabei ausgerechnet als harmloses Projekt auf GitHub. Erfahre hier mehr zum Thema
Ein auf GitHub veröffentlichter Solana-Trading-Bot entpuppte sich als Malware, die private Schlüssel stiehlt und Wallets leert.
Der Schadcode war geschickt in einer Node.js-Abhängigkeit versteckt, wodurch er gängige Sicherheitsmechanismen umgehen konnte.
SlowMist ruft Entwickler und Trader zur Vorsicht auf und empfiehlt Code-Tests in isolierten Umgebungen.
Bösartiger Solana-Trading-Bot auf GitHub sorgt für Schlagzeilen
Das Cyberscurity-Unternehmen SlowMist hat eine dringliche Warnung herausgegeben, nachdem ein Nutzer seine Assets durch den Download eines scheinbar legitimen Solana-Trading-Bots verloren hatte.
Das Projekt namens „solana-pumpfun-bot“ sollte Nutzern angeblich den Handel auf Pump.fun, einer beliebten Memecoin-Plattform auf Solana, erleichtern. Stattdessen handelt es sich aber um einen fiesen Betrug!
Der Benutzer lud den Open-Source-Bot von GitHub herunter und führte ihn aus. Kurz darauf stellte er fest, dass sein Wallet leergeräumt wurde. Auf den ersten Blick sah das Bot-Projekt normal aus, da es Sterne, Forks und sogar aktuelle Commits gab.
Bei dem Projekt handelte es sich um eine Node.js-Anwendung, die eine versteckte Abhängigkeit enthielt – ein Paket, das nicht über das offizielle NPM-Registry, sondern über eine individuelle GitHub-URL eingebunden wurde.
Auf diese Weise konnte der schädliche Code die Sicherheitsprüfungen von NPM umgehen, wodurch er zunächst unentdeckt blieb.
Nach der Installation auf dem Gerät des Opfers durchsuchte der Code das System nach Wallet-Informationen und schickte die privaten Schlüssel an einen vom Angreifer kontrollierten Remote-Server.
Der Angreifer nutze gefälschte GitHub-Konten, um Vertrauen zu erwecken
Um den Anschein von Sicherheit zu erwecken, nutzte der Angreifer gefälschte GitHub-Konten, um das Projekt zu starten und zu forken. Dadurch entstand der Eindruck, dass es sich um ein weit verbreitetes Projekt handle.
Laut SlowMist war die gesamte Codebasis jedoch erst vor drei Wochen hochgeladen worden, was ein klares Zeichen dafür war, dass etwas nicht stimmte. In einem X-Post erklärt die Firma:
„Der Täter hat ein schädliches Programm als legitimes Open-Source-Projekt auf GitHub getarnt. Nutzer haben dann unwissentlich ein Node.jr-Projekt mit eingebetteter Schadsoftware ausgeführt, wodurch ihre privaten Schlüssel offengelegt und Vermögenswerte gestohlen wurden.“
On July 2, a victim reached out to the SlowMist team after losing crypto assets. The cause? Running a seemingly legitimate GitHub project — zldp2002/solana-pumpfun-bot.
🕳️What looked safe turned out to be a cleverly disguised trap.
SlowMist spricht wichtige Warnung für Entwickler und Händler aus
Im Zuge der jüngsten Vorkommnisse plädiert das Cyberscurity-Unternehmen SlowMist gleichermaßen an Entwickler sowie Nutzer, GitHub-Projekten niemals blind zu vertrauen.
Insbesondere solchen, die einen Wallet-Zugriff erfordern oder mit privaten Schlüsseln arbeiten. Wenn Nutzer aber jene Tools nutzen möchten, rät SlowMist, diese zuerst in einer Sandbox-Umgebung auszuführen, ehe echte Wallets mit echten Assets zum Einsatz kommen:
Wenn Sie Anwendungen testen müssen, tun Sie dies in einer Sandbox-Umgebung ohne sensible Daten.“
Der aktuelle Fall des manipulierten Trading-Bots zeigt eindrücklich, wie raffiniert Betrüger inzwischen vorgehen – selbst auf scheinbar vertrauenswürdigen Plattformen wie GitHub. Indes mahnt der Vorfall zur Vorsicht:
Open-Source-Software ist nicht automatisch sicher. Wer also Tools mit Wallet-Zugriff nutzt, sollte deren Code vorab gründlich prüfen oder zumindest in einer isolierten Testumgebung ausführen.
Gerade im schnelllebigen Krypto-Kosmos ist Aufmerksamkeit unerlässlich, denn wo Geld zu holen ist, sind auch Betrüger nicht weit. Der Appell von SlowMist ist daher klar und aktuell wie nie: Vertrauen ist gut, aber Misstrauen ist besser!
Dennis Geisler ist 24 Jahre alt, kommt aus Kiel und machte im Jahr 2020 seine ersten Erfahrungen mit Kryptowährungen, also er XRP im Wert von 100 € über die Plattform Binance kaufte. Die hohen Kursschwankungen und schnelle Rendite faszinierten ihn – und weckten sein Interesse an der Frage, wie solche Preisbewegungen entstehen und ob dahinter rationale oder irrationale Muster stehen.
Während er als Journalist leidenschaftlich gerne News, Grundlagenartikel und Blockchain-Analysen verfasst, widmet er sich mit BitBlog auch der lokalen Beratung von Firmen und Privatpersonen im Bereich Digitalwährungen in Norddeutschland.
Share:
Related Articles
Wir verwenden Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen. Wenn Sie diese Website weiter nutzen, gehen wir davon aus, dass Sie damit zufrieden sind.Ok
