출처: 슬로우 미스트 기술
원문 링크: https://mp.weixin.qq.com/s/Tu5queqqz874swt6znwbtA

배경

2025년 7월 초, 슬로우 미스트 보안 팀은 피해 사용자로부터 도움 요청을 받아 암호화폐 자산 도난 원인을 분석했습니다. 조사 결과, 해당 사건은 사용자가 GitHub에 호스팅된 오픈소스 프로젝트 zldp2002/solana-pumpfun-bot을 사용하면서 발생한 은밀한 도난 행위로 밝혀졌으며, 자세한 내용은 GitHub 인기 솔라나 도구에 숨겨진 도난 함정을 참조하세요.

최근에는 또 다른 사용자가 유사한 오픈소스 프로젝트 - audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot을 사용하여 암호화폐 자산을 도난당했고, 슬로우 미스트 보안 팀에 연락했습니다. 이에 대해 팀은 해당 공격 방법을 더욱 심층적으로 분석했습니다.

이번에 공유된 공격 방법에서, 공격자는 합법적인 오픈소스 프로젝트로 위장하여 사용자가 악성 코드를 다운로드하고 실행하도록 유도합니다. 해당 프로젝트는 로컬에서 .env 파일의 민감한 정보를 읽어들이고, 훔친 개인 키를 공격자가 제어하는 서버로 전송합니다. 이러한 공격은 일반적으로 사회공학적 기술과 결합되어, 사용자가 조금만 부주의해도 쉽게 피해를 입을 수 있습니다.

개발자와 사용자는 출처를 알 수 없는 GitHub 프로젝트에 대해 매우 경계해야 하며, 특히 지갑이나 개인 키 작업과 관련된 경우에는 더욱 주의해야 합니다. 반드시 실행하거나 디버깅해야 한다면, 민감한 데이터가 없는 독립된 환경에서 수행하고 출처를 알 수 없는 악성 프로그램과 명령어 실행을 피해야 합니다.

더 많은 보안 지식은 슬로우 미스트(SlowMist)에서 제작한 《블록체인 암흑의 숲 자가방어 핸드북》을 참고하세요:

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md