Hakerzy stworzyli fałszywego bota handlowego dla rynków predykcyjnych Polymarket na GitHubie. Bot był wykorzystywany do rozprzestrzeniania złośliwego oprogramowania kradnącego dane uwierzytelniające, takie jak klucze portfela i hasła przeglądarki.
W kilku kontach npm znaleziono 30 złośliwych pakietów, które podobno były wymierzone w deweloperów i traderów korzystających ze zautomatyzowanych strategii. Co najmniej 53 deweloperów dało się złapać w pułapkę, zanim sprawa została zgłoszona.

1 lipca 2026 roku firma bezpieczeństwa SlowMist zgłosiła fałszywego bota handlowego, który obiecywał duże zyski na Polymarket, ale w rzeczywistości był jedynie nośnikiem złośliwego oprogramowania. SafeDep odkrył 30 złośliwych pakietów npm rozproszonych na wielu kontach i powiązanych z jednym fałszywym repozytorium GitHub.
Przestępcy opublikowali „polymarket-arbitrage-bot", który rzekomo zarabiał ponad 80 000 USD rocznie. Przed ujawnieniem oszustwa zdobył 36 gwiazdek i 53 forki. Każdy deweloper, który go pobrał i zainstalował, uruchomił złośliwe oprogramowanie.
Atakujący byli świadomi faktu, że prawdziwe boty handlowe zarobiły ogromne pieniądze na Polymarket.
Jeden bot opisany przez analityka rynków predykcyjnych Dexter's Lab zamienił 313 USD w 414 000 USD w ciągu zaledwie jednego miesiąca, podczas gdy inny, przeanalizowany przez badacza Igora Mikerina, zarobił 2,2 miliona USD w ciągu dwóch miesięcy. Ta historia sukcesów sprawiła, że fałszywy bot wyglądał wiarygodnie dla traderów goniących za łatwymi zyskami.
Instrukcje dotyczące tego fałszywego bota handlowego obejmowały umieszczenie przez użytkowników swojego klucza prywatnego Polymarket w pliku .env przed uruchomieniem „npm install". Podczas instalacji uruchamiało się złośliwe oprogramowanie ukryte w zależności o nazwie „clob-client-math".
Złośliwe oprogramowanie kradnie wiele wrażliwych danych, w tym:
Badacze bezpieczeństwa uważają, że za tym atakiem stoją północnokoreańscy hakerzy. Grupa prowadzi szerszą kampanię o nazwie „Contagious Trader", która jest wymierzona w deweloperów kryptowalut.
Cryptopolitan informował w marcu, że hakerzy przejęli konto dewelopera Axios i opublikowali złośliwe pakiety npm. W maju jedno przejęte konto zostało wykorzystane do przejęcia 323 pakietów w mniej niż 30 minut.
Użytkownicy Polymarket w tym roku zetknęli się również z innymi atakami, jak choćby pod koniec czerwca, gdy oszustwo phishingowe opróżniło 2,94 miliona USD z co najmniej 11 kont.
SafeDep twierdzi, że każdy komputer, na którym uruchomiono „npm install" dla fałszywego bota, należy traktować jako zhakowany. Takim osobom zaleca się natychmiastową rotację wszystkich kluczy portfeli kryptowalutowych, zmianę wszystkich haseł zapisanych w przeglądarce oraz wymianę wszystkich danych uwierzytelniających AWS, kluczy SSH i tokenów API.
Traderom zaleca się również sprawdzenie plików blokady npm pod kątem 30 złośliwych pakietów poprzez wyszukanie zależności, które pojawiają się w package.json, ale nigdy nie są używane w kodzie. Plik „package.json" repozytorium w tym ataku zawierał cztery zależności, ale tylko trzy (oficjalny Polymarket SDK, ethers i dotenv) były legalne. Czwarta, clob-client-math, która ukrywała złośliwe oprogramowanie, nigdy nie była importowana w żadnym miejscu kodu źródłowego bota.
Najlepszą obroną jest sprawdzanie, czy pakiety pochodzą z nowych kont bez historii publikacji, ponieważ wszystkie fałszywe pakiety zostały opublikowane przez zupełnie nowe konta.
Nie tylko czytaj wiadomości o kryptowalutach. Rozumiej je. Zapisz się do naszego newslettera. To bezpłatne.

