Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Cảnh báo bảo mật: Trộm khóa riêng thông qua các phụ thuộc bị xâm phạm trên GitHub
Đã phát hiện cảnh báo nghiêm trọng về an ninh ảnh hưởng đến các nhà phát triển trên nền tảng GitHub. Dự án polymarket-copy-trading-bot đã bị xâm phạm với mã độc tự động lấy cắp khóa riêng của ví người dùng trong quá trình khởi động ứng dụng. Sự cố này gây ra mối đe dọa đáng kể cho bất kỳ ai đã cài đặt hoặc sử dụng kho lưu trữ này.
Cách thức lấy cắp khóa
Cơ chế tấn công rất tinh vi nhưng hiệu quả. Khi chương trình khởi động, mã độc tự động trích xuất khóa riêng lưu trong tệp .env của người dùng. Thông tin nhạy cảm này sau đó được gửi ra các máy chủ kiểm soát của kẻ tấn công qua một gói phụ thuộc có vẻ hợp pháp: @easynode/ethers-utils.
Cuộc tấn công tận dụng lòng tin của các nhà phát triển vào các thư viện npm. Khi tích hợp phụ thuộc bị xâm phạm này, mã độc chạy âm thầm mà người dùng không hay biết, lấy cắp các thông tin xác thực cryptographic quý giá nhất của họ.
Nhận diện mã độc
Gói độc hại được sử dụng trong cuộc tấn công này được xác định là @easynode/ethers-utils. Mục tiêu chính của nó là chặn đứng khóa riêng trước khi ứng dụng hợp pháp sử dụng. Sau khi lấy cắp, thông tin này được truyền mã hóa đến các máy chủ của kẻ tấn công, cho phép họ truy cập hoàn toàn vào tài sản kỹ thuật số của nạn nhân.
Chiến thuật tiêm mã vào các phụ thuộc này đặc biệt nguy hiểm vì nhiều nhà phát triển không kiểm tra mã nguồn của tất cả các thư viện đã nhập, tạo điều kiện cho các mối đe dọa về an ninh lan rộng.
Khuyến nghị để bảo vệ tài sản của bạn
Nếu bạn đã sử dụng dự án polymarket-copy-trading-bot, cần hành động ngay lập tức. Đầu tiên, dừng tất cả các phiên của chương trình và kiểm tra các tệp .env của bạn để xác định xem khóa riêng của bạn có bị xâm phạm hay không. Cân nhắc rằng bất kỳ ví nào liên kết với các thông tin xác thực đó có thể đang gặp rủi ro.
Như một biện pháp phòng ngừa bổ sung, trước khi cài đặt bất kỳ gói npm nào, hãy kiểm tra uy tín của chúng, xem xét lịch sử cập nhật và các phụ thuộc đi kèm. Sử dụng các công cụ phân tích an ninh để phát hiện mã độc trong các phụ thuộc trước khi chạy chúng trong môi trường của bạn.
Cảnh báo này nhấn mạnh tầm quan trọng của việc duy trì các thực hành quản lý bí mật và xác minh mã nguồn vững chắc trong các dự án phát triển. Cộng đồng GitHub cần cảnh giác trước các mối đe dọa tương tự về xâm phạm phụ thuộc.