复制交易机器人隐藏的威胁，用户的私钥面临风险

最近在复制交易热潮中，暴露出一些需要注意的风险。去年12月中旬，安全行业发出了严重警告：在下载Polymarket复制交易机器人时，无意中安装的工具中可能隐藏着黑客的个人密钥窃取工具。

GitHub上伪装成恶意代码的真相

SlowMist Technology的首席信息安全官(CISO) 23pds通过社区公开的安全警告指出，部分Polymarket复制交易机器人的开发者故意在代码托管平台GitHub上隐藏了恶意代码。

这种恶意代码的运作方式非常复杂。当用户运行复制交易程序时，系统会自动检测并收集存储在“.env”文件中的钱包私钥。随后，黑客会将私钥传输到远程服务器，从而暴露用户资产。

反复隐藏，恶意意图的证据

尤其令人担忧的是，开发者在不断修改代码的过程中持续伪装恶意包。这明显不是偶然，而是有意为之的恶意行为。

23pds CISO表示：“这并非首次发现此类案例，未来还会出现类似的威胁。”他呼吁用户提高警惕。安全专家们已多次观察到类似的攻击模式，预计网络犯罪分子会不断尝试新的手段。

用户在使用复制交易工具时应注意的方法

对复制交易感兴趣的用户必须牢记几点。首先，只应从来源明确、经过验证的平台下载工具；即使在GitHub等代码公开平台，也要充分核查开发者的声誉和社区评价。尤其是涉及“.env”文件等敏感信息的程序，更应谨慎审查。

忽视像SlowMist这样的安全专家的警告，盲目使用新出现的复制交易工具，显然不是明智的投资行为。