Xuất hiện chiêu trò lừa đảo tiền điện tử tinh vi núp bóng dự án mã nguồn mở trên GitHub, gây giảm tài sản người dùng.
Người dùng tải về bot giao dịch Solana giả mạo trên GitHub đã bị đánh cắp private key và mất toàn bộ tài sản. Sự việc được công ty bảo mật SlowMist cảnh báo, nhấn mạnh nguy cơ giả mạo dự án mã nguồn mở trên nền tảng GitHub rất khó nhận biết.
- Bot giao dịch Solana “solana-pumpfun-bot” chứa mã độc lấy private key qua gói ẩn danh trên GitHub.
- Hacker tạo dựng uy tín giả trên GitHub bằng tài khoản ảo để tạo lòng tin.
- SlowMist khuyến nghị kiểm tra kỹ dự án và dùng môi trường thử nghiệm khi liên quan ví tiền điện tử.
Bot giao dịch Solana giả mạo nguy hiểm như thế nào?
Chuyên gia SlowMist xác nhận bot “solana-pumpfun-bot” là phần mềm độc hại gây mất tiền qua việc đánh cắp private key ví, khiến người dùng thiệt hại toàn bộ tài sản. Dự án Node.js này chứa gói thư viện độc hại từ nguồn riêng, vượt qua kiểm duyệt chính thức của NPM.
Qua phân tích, bot quét toàn bộ hệ thống tìm dữ liệu ví, rồi gửi private key ra máy chủ do hacker kiểm soát, khiến ví của người dùng bị rỗng ngay sau khi chạy.
“Kẻ tấn công đã ngụy trang malware thành dự án mã nguồn mở hợp pháp, khiến người dùng không nghi ngờ và chạy dự án Node.js với gói phụ trợ độc hại, đánh cắp private key để chiếm đoạt tài sản.”
Trích dẫn SlowMist, công ty an ninh mạng, tháng 7/2025
Tại sao dự án giả mạo lại có vẻ đáng tin trên GitHub?
Đội ngũ bảo mật phát hiện hacker đã dùng hàng loạt tài khoản giả để tạo sao (star) và phân nhánh (fork) cho dự án, tạo giả mạo số liệu người dùng mạnh mẽ nhằm đánh lừa nhà đầu tư, trader cũng như nhà phát triển.
Trên thực tế, dự án “solana-pumpfun-bot” mới được tạo cách đây chỉ ba tuần, thời gian quá ngắn để có độ tin cậy thật sự. Nhưng nhờ chiêu trò tạo uy tín giả, nhiều người vẫn cho rằng đây là phần mềm an toàn và tin dùng.
SlowMist cảnh báo gì với nhà phát triển và trader tiền điện tử?
SlowMist lưu ý người dùng không nên mù quáng tin tưởng các dự án trên GitHub, nhất là những công cụ yêu cầu truy cập ví hoặc private key. Khi cần thử, phải thực hiện trong môi trường cách ly riêng biệt với dữ liệu thật để tránh rủi ro mất tài sản.
“Nếu bắt buộc thử nghiệm phần mềm như vậy, hãy làm trong môi trường sandbox, cách ly hoàn toàn với thông tin nhạy cảm.”
SlowMist, lời khuyên dành cho người dùng, 7/2025
Tại sao vụ việc này lại có tính chất quan trọng trong lĩnh vực tiền điện tử?
Ngày càng nhiều nhà phát triển và trader sử dụng công cụ mã nguồn mở trong lĩnh vực tiền điện tử. Chính vì thế các cuộc tấn công tinh vi như “solana-pumpfun-bot” ngày càng khó phát hiện dẫn đến mất tài sản lớn cho người dùng.
Bài học dễ nhớ là nếu dự án trên GitHub yêu cầu quyền truy cập ví, hãy nghi ngờ và đánh giá kỹ bởi đây là rủi ro rất cao cho tài sản kỹ thuật số.
Những câu hỏi thường gặp
- Làm sao nhận biết dự án mã nguồn mở trên GitHub có an toàn?
Kiểm tra lịch sử mã nguồn, thời gian tạo dự án, số lượng người dùng thật sự và tránh các gói phụ trợ từ nguồn không chính thống. - Nếu muốn test bot giao dịch mới, tôi có nên dùng ví thật không?
Không, nên sử dụng môi trường sandbox hoặc ví thử để tránh rủi ro mất tài sản thực. - Private key có thể bị lộ qua phần mềm độc hại không?
Có thể, các mã độc như bot giả mạo có thể quét và gửi private key về máy chủ hacker. - Tôi nên làm gì nếu nghi ngờ bị mã độc trên ví?
Nên ngay lập tức chuyển tài sản sang ví mới và thay đổi các thông tin bảo mật liên quan. - Có công cụ nào giúp kiểm tra mã độc trong dự án GitHub không?
Có, người dùng nên sử dụng dịch vụ phân tích bảo mật chuyên sâu và cảnh giác trước các gói phụ trợ bất thường.