Dasar
Spot
Perdagangkan kripto dengan bebas
Perdagangan Margin
Perbesar keuntungan Anda dengan leverage
Konversi & Investasi Otomatis
0 Fees
Perdagangkan dalam ukuran berapa pun tanpa biaya dan tanpa slippage
ETF
Dapatkan eksposur ke posisi leverage dengan mudah
Perdagangan Pre-Market
Perdagangkan token baru sebelum listing
Futures
Ratusan kontrak diselesaikan dalam USDT atau BTC
TradFi
Emas
Satu platform aset tradisional global
Opsi
Hot
Perdagangkan Opsi Vanilla ala Eropa
Akun Terpadu
Memaksimalkan efisiensi modal Anda
Perdagangan Demo
Futures Kickoff
Bersiap untuk perdagangan futures Anda
Acara Futures
Gabung acara & dapatkan hadiah
Perdagangan Demo
Gunakan dana virtual untuk merasakan perdagangan bebas risiko
Peluncuran
CandyDrop
Koleksi permen untuk mendapatkan airdrop
Launchpool
Staking cepat, dapatkan token baru yang potensial
HODLer Airdrop
Pegang GT dan dapatkan airdrop besar secara gratis
Launchpad
Jadi yang pertama untuk proyek token besar berikutnya
Poin Alpha
Perdagangkan aset on-chain, raih airdrop
Poin Futures
Dapatkan poin futures dan klaim hadiah airdrop
Investasi
Simple Earn
Dapatkan bunga dengan token yang menganggur
Investasi Otomatis
Investasi otomatis secara teratur
Investasi Ganda
Keuntungan dari volatilitas pasar
Soft Staking
Dapatkan hadiah dengan staking fleksibel
Pinjaman Kripto
0 Fees
Menjaminkan satu kripto untuk meminjam kripto lainnya
Pusat Peminjaman
Hub Peminjaman Terpadu
Peringatan Keamanan: Pencurian Kunci Pribadi Melalui Dependensi yang Rentan di GitHub
Ditemukan peringatan keamanan serius yang mempengaruhi pengembang di platform GitHub. Proyek polymarket-copy-trading-bot telah disusupi dengan kode berbahaya yang secara otomatis mencuri kunci pribadi dompet pengguna saat inisialisasi aplikasi. Insiden ini merupakan ancaman besar bagi siapa saja yang telah menginstal atau menggunakan repositori ini.
Bagaimana pencurian kunci terjadi
Mekanisme serangan ini canggih namun efektif. Ketika program dijalankan, kode berbahaya secara otomatis mengekstrak kunci pribadi yang disimpan di file .env pengguna. Informasi sensitif ini kemudian diekspor ke server yang dikendalikan oleh penyerang melalui paket dependensi yang tampaknya sah: @easynode/ethers-utils.
Serangan ini memanfaatkan kepercayaan pengembang terhadap pustaka npm. Dengan mengintegrasikan dependensi yang terkompromi, kode berbahaya berjalan diam-diam tanpa disadari pengguna, mencuri kredensial kriptografi yang paling berharga.
Identifikasi kode berbahaya
Paket berbahaya yang digunakan dalam serangan ini diidentifikasi sebagai @easynode/ethers-utils. Tujuan utamanya adalah untuk menyadap kunci pribadi sebelum digunakan oleh aplikasi yang sah. Setelah dicuri, informasi ini dikirimkan secara terenkripsi ke server penyerang, memungkinkan mereka mengakses seluruh aset digital korban.
Taktik injeksi kode ke dalam dependensi ini sangat berbahaya karena banyak pengembang tidak memeriksa kode sumber dari semua pustaka yang mereka impor, sehingga memudahkan penyebaran ancaman keamanan.
Rekomendasi untuk melindungi aset Anda
Jika Anda telah menggunakan proyek polymarket-copy-trading-bot, sangat penting untuk segera bertindak. Pertama, hentikan semua instance program dan periksa file .env Anda untuk memastikan apakah kunci pribadi Anda telah disusupi. Pertimbangkan bahwa dompet yang terkait dengan kredensial tersebut mungkin dalam risiko.
Sebagai langkah pencegahan tambahan, sebelum menginstal paket npm apa pun, periksa reputasinya, tinjau riwayat pembaruan, dan dependensi yang disertakan. Gunakan alat analisis keamanan yang dapat mendeteksi kode berbahaya dalam dependensi sebelum menjalankannya di lingkungan lokal Anda.
Peringatan keamanan ini menegaskan pentingnya menerapkan praktik pengelolaan rahasia dan verifikasi kode yang ketat dalam proyek pengembangan. Komunitas GitHub harus tetap waspada terhadap ancaman serupa terkait kompromi dependensi.