Die dynamische Landschaft der dezentralisierten Finanzwelt (DeFi) zieht weiterhin hochentwickelte Cyberbedrohungen an. Ein jüngster Vorfall verdeutlicht die gravierenden Schwachstellen im Open-Source-Software-Ökosystem: Ein bösartiges Projekt auf GitHub, das sich als Solana-Handelsbot tarnte, kompromittierte erfolgreich Benutzer-Wallets. Dies geht aus einem Bericht der Cybersicherheitsfirma SlowMist vom 2. Juli 2025 hervor. Dieses Ereignis unterstreicht die dringende Notwendigkeit erhöhter Wachsamkeit und robuster Sicherheitspraktiken in einem Sektor, der stark auf gemeinschaftsgetriebene Entwicklung und offene Repositories angewiesen ist.
Das Projekt mit dem Namen „solana-pumpfun-bot“, das unter dem Benutzernamen zldp2002 betrieben wurde, gewann schnell an Popularität. Doch anstatt die versprochene Funktionalität zu liefern, zweigte der Bot heimlich Kryptowährungen von den Wallets der Nutzer ab und leitete die gestohlenen Gelder auf die FixedFloat-Plattform um. Dieses betrügerische Manöver umging gängige Sicherheitsprotokolle, indem es das Vertrauen in Open-Source-Beiträge ausnutzte.
Betrügerische Taktiken und technische Umsetzung
Die Untersuchung von SlowMist ergab, dass der auf Node.js basierende Bot eine verdächtige Abhängigkeit namens „crypto-layout-utils“ nutzte, die auffälligerweise in den offiziellen NPM-Repositories fehlte. Nach der Installation scannte dieses bösartige Paket das Gerät des Benutzers akribisch nach privaten Schlüsseln und Wallet-Dateien, um diese sensiblen Daten anschließend an einen Hacker-kontrollierten Server unter githubshadow.xyz zu exfiltrieren. Der Angreifer erschwerte die Erkennung zusätzlich, indem er den Code der Malware stark verschleierte und mehrere Forks des Projekts über betrügerische GitHub-Konten erstellte, um dessen Sichtbarkeit und vermeintliche Legitimität zu erhöhen. Einige dieser Varianten nutzten ein alternatives bösartiges Paket, „bs58-encrypt-utils-1.0.3“.
Die Angriffskampagne war seit dem 12. Juni 2025 aktiv. Sie kam erst ans Licht, nachdem ein Opfer SlowMist einen Tag nach der Installation des betrügerischen Projekts kontaktierte. Eine nach dem Exploit durchgeführte On-Chain-Analyse, die mit dem MistTrack-Tool von SlowMist durchgeführt wurde, bestätigte unwiderlegbar, dass die gestohlenen Vermögenswerte an FixedFloat umgeleitet wurden, wodurch der Fluss der illegalen Gelder nachvollziehbar wurde.
Gegenmaßnahmen und breitere Branchenauswirkungen
Dieser Vorfall dient als deutliche Warnung hinsichtlich der inhärenten Risiken bei der Ausführung von Open-Source-Software, insbesondere solcher, die ohne strenge Vorsichtsmaßnahmen mit sensiblen Vermögenswerten wie Wallets oder privaten Schlüsseln interagieren. SlowMist rät ausdrücklich davon ab, solche Anwendungen außerhalb von stark isolierten Umgebungen auszuführen. Das Unternehmen empfiehlt zudem dringend, verdächtige oder nicht verifizierte Pakete zu meiden, insbesondere im Kontext von Krypto-Bot-Plattformen und Automatisierungstools.
Der Fall hebt die eskalierende Bedrohung durch Social Engineering und Dependency Hijacking innerhalb der Open-Source-Softwareentwicklung für Kryptowährungen prominent hervor. Während die Branche weiterhin innoviert, wird die Notwendigkeit einer gründlichen Prüfung und Verifizierung jeder Komponente vor der Bereitstellung immer kritischer, um digitale Vermögenswerte zu schützen und die Integrität des Ökosystems zu wahren. Dieser Vorfall bekräftigt die Notwendigkeit für Entwickler und Nutzer gleichermaßen, äußerste Sorgfalt walten zu lassen, um die Risiken im Zusammenhang mit hochentwickelten Cyberkampagnen zu mindern.
Hallo, ich bin Felix Schröder, Chefredakteur von BitDaily.de. Seit über zehn Jahren begeistern mich Kryptowährungen, Finanzen und Investments. Bei BitDaily.de kombiniere ich fundierte Analysen mit Humor, um komplexe Themen verständlich und unterhaltsam darzustellen. Ob Bitcoin, Ethereum oder neue Blockchain-Trends – mein Ziel ist es, Ihnen Fakten und ein Schmunzeln zu liefern, denn Wissen und gute Laune gehören zusammen.