A Polymarket ma a kriptó egyik legnépszerűbb játszótere, így nem csoda, hogy a hackerek is rátapadtak.
A legújabb támadási hullámok viszont azt mutatják, hogy a csalók már nemcsak az átlagos, kattintgató tradereket nézik hülyének, hanem célba vették magukat a fejlesztőket és az algoritmus-építőket is.
A fegyverük pedig sokkal veszélyesebb egy sima adathalász linknél, és a támadás valódi, hasznosnak tűnő programkódnak, botnak vagy SDK-nak, fejlesztői csomagnak van álcázva.
A „polymarket-copy-trading” csapda
A biztonsági cégek, köztük a SafeDep és a Hacktron legfrissebb jelentései több, egymástól eltérő, de egyaránt Polymarket-fókuszú támadási formáról számoltak be. Az egyik ilyen a június végén felfedezett polymarket-copy-trading nevű csomag volt.
Ez a látszólag legális segédeszköz egy klasszikus social engineering trükköt használ.
Amikor a fejlesztő lefuttatta az „npm install” parancsot a gépén, a csomag egy teljesen hivatalosnak tűnő bejelentkezési felületet dobott fel a terminálban, majd direktben bekérte az Ethereum vagy Polymarket tárca privát kulcsát.
Az installer még egy nyugtató üzenetet is kiírt arról, hogy a kulcs titkosítva marad, miközben a háttérben sima szöveg formájában küldte el azt a hackereknek.
Amikor a teljes dfejlesztői setup a célpont
Ez viszont csak a jéghegy csúcsa. Július 1-jén a SlowMist és a SafeDep egy másik, sokkal durvább kampányt is azonosított, amelyben a támadók feltettek egy „polymarket-arbitrage-bot” nevű kódot a GitHubra, amellyel évi 80 ezer dolláros profitot ígértek, és ami hetek alatt tucatnyi „star”-t és „forkot” kapott gyanútlan fejlesztőktől.
A csapda úgy működött, hogy a bot kódjába beletettek egy felesleges függőséget, amit a program valójában sosem használt. Mármint a használója semmire sem használhatta.
A csomag belsejében viszont ott lapult a malware, és aki telepítette a botot, attól a vírus nemcsak a kriptós kulcsokat szerezte meg, hanem kiszedte a Chrome-ban mentett jelszavakat, az SSH-kulcsokat, a felhő-hozzáféréseket, és még a jelszókezelőkből (mint a Bitwarden vagy 1Password) származó adatokat is.
A megtévesztés foka
Korábban, a StepSecurity által márciusban felfedezett eset során a támadók még arra is képesek voltak, hogy hivatalos, verifikált (például japán DeFi projektekhez tartozó) GitHub-szervezeteket törjenek fel, hogy a vírusos Polymarket-kódjaikat hitelesebbnek mutassák.
Ha fejlesztő vagy, és egy AI-agentet, arbitrázsbotot vagy copy-trading scriptet akarsz építeni a Polymarketre, az első és legfontosabb dolgod a paranoia.
Ha egy tökéletes bot kódjában csak egyetlen felesleges npm csomag lapul, a telepítés pillanatában nemcsak a Polymarket-egyenlegednek mondhatsz búcsút, hanem szó szerint odaadhatod az egész digitális életedet, felhőstől, jelszavastól, mindenestől a hackereknek.
Olvastad már? Vételi jelzést villantott a bitcoin, de a medvepiaci mélypont még nem biztos
Kriptoworld.hu szerkesztője, a Kriptoworld.hu alapítója
LinkedIn | X (Twitter) | Facebook
A Kriptoworld.hu alapítójaként és szerkesztőjeként írásaiban azt vizsgálom, hogyan alakítják át a gazdasági és technológiai változások az emberek döntéseit, biztonságérzetét és jövőképét. Olyan nézőpontból írok, amely a gyors hírek mögötti következményeket és kérdéseket keresi. Hiszek abban, hogy a kriptovilágról nem csak technikailag, hanem emberi nyelven is lehet hitelesen beszélni. Írásaim célja nem tanácsadás, hanem megértés: segíteni eligazodni egy olyan világban, ahol a pénz, a technológia és a bizalom egyszerre változik.
📅 Megjelenés: 2026. július 4. • 🕓 Utolsó frissítés: 2026. július 4.
✉️ Kapcsolat: [email protected]
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.
