安全研究人员就GitHub上Polymarket跟单交易机器人中的恶意代码发出警告_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

安全研究人员就GitHub上Polymarket跟单交易机器人中的恶意代码发出警告

2025-12-22 00:22:16

以安全为导向的研究人员和企业近日对GitHub上一款热门的开源Polymarket跟单交易机器人发出警告。该机器人由名为"Trust412"的开发者创建，据报告在多次提交记录和依赖项中隐藏了恶意代码。

12月21日，SlowMist首席信息安全官转发了社区用户关于GitHub上Polymarket跟单交易机器人存在恶意代码的安全警示。这一事件提醒人们，加密机器人市场仍存在诸多漏洞，因此仔细审查GitHub代码库中的潜在威胁变得至关重要。

根据相关技术分析，这段代码被故意植入，作者通过反复修改确保其逃避检测，同时掩盖了恶意性质。这种情况发生在"polymarket-copy-trading-bot"代码库的多次提交中，可能导致用户面临资金被盗风险。

该机器人程序中的隐藏代码会自动扫描读取配置文件，提取私钥并将其传输到黑客控制的远程服务器。专家敦促用户对任何未经审计的代码库保持警惕。有安全专家指出，这并非首次针对GitHub及其用户的攻击手段，也不会是最后一起类似事件。

此类攻击最关键的一点是需要用户主动启动流程，这意味着保持高度警惕能有效预防类似事件重演。这是对开源工具的典型供应链攻击，需要用户先安装机器人程序——许多用户为了复制Polymarket上成功交易者的操作而进行安装。这些用户输入用于交易签名的私钥，却在不知不觉中暴露了密钥。

若发现已下载该代码库，建议立即删除，并假定所有关联钱包均已遭到入侵，尽快将全部资金转移至新钱包。值得注意的是，其他Polymarket机器人代码库也曾出现类似问题，因此仔细审查第三方交易脚本对保障安全至关重要。

展开阅读全文

安全研究人员就GitHub上Polymarket跟单交易机器人中的恶意代码发出警告