SlowMist 보안팀에 따르면, 7월 2일, 한 피해자는 전날 GitHub에서 호스팅된 오픈 소스 프로젝트 - zldp2002/solana-pfun-bot을 사용했고, 그 후 암호 자산을 도난당했다고 말했습니다. 슬로우미스트 분석에 따르면 이번 공격에서 공격자는 합법적인 오픈 소스 프로젝트(솔라나-펌프펀봇)인 척하며 사용자에게 악성 코드를 다운로드하고 실행하도록 유도했습니다. 프로젝트의 인기를 가린 사용자는 의심하지 않고 Node.js 프로젝트를 실행하여 지갑 개인 키가 유출되고 자산이 도난당했습니다. 전체 공격 체인은 여러 GitHub 계정의 조정된 운영을 포함하므로 배포 범위가 확대되고 신뢰성이 향상됩니다. 매우 기만적입니다. 동시에 이러한 공격은 사회 공학 및 기술적 수단을 통해 수행되므로 조직 내에서 완전히 방어하기가 어렵습니다. SlowMist는 개발자와 사용자에게 식별되지 않은 GitHub 프로젝트, 특히 지갑이나 개인 키 작업에 대해 매우 조심하라고 조언합니다. 디버깅을 실행해야 하는 경우 중요한 데이터 없이 별도의 시스템 환경에서 실행 및 디버그하는 것이 좋습니다.