Új Polymarket malware terjed, már a saját botod is kiforgathat a pénzedből

A Polymarket ma a kriptó egyik legnépszerűbb játszótere, így nem csoda, hogy a hackerek is rátapadtak.

A legújabb támadási hullámok viszont azt mutatják, hogy a csalók már nemcsak az átlagos, kattintgató tradereket nézik hülyének, hanem célba vették magukat a fejlesztőket és az algoritmus-építőket is.

Maradj naprakész a kriptovaluta világában – kövess minket az X-en a legfrissebb hírek, betekintések és trendekért!🚀

A fegyverük pedig sokkal veszélyesebb egy sima adathalász linknél, és a támadás valódi, hasznosnak tűnő programkódnak, botnak vagy SDK-nak, fejlesztői csomagnak van álcázva.

A „polymarket-copy-trading” csapda

A biztonsági cégek, köztük a SafeDep és a Hacktron legfrissebb jelentései több, egymástól eltérő, de egyaránt Polymarket-fókuszú támadási formáról számoltak be. Az egyik ilyen a június végén felfedezett polymarket-copy-trading nevű csomag volt.

Ez a látszólag legális segédeszköz egy klasszikus social engineering trükköt használ.

Amikor a fejlesztő lefuttatta az „npm install” parancsot a gépén, a csomag egy teljesen hivatalosnak tűnő bejelentkezési felületet dobott fel a terminálban, majd direktben bekérte az Ethereum vagy Polymarket tárca privát kulcsát.

Az installer még egy nyugtató üzenetet is kiírt arról, hogy a kulcs titkosítva marad, miközben a háttérben sima szöveg formájában küldte el azt a hackereknek.

Amikor a teljes dfejlesztői setup a célpont

Ez viszont csak a jéghegy csúcsa. Július 1-jén a SlowMist és a SafeDep egy másik, sokkal durvább kampányt is azonosított, amelyben a támadók feltettek egy „polymarket-arbitrage-bot” nevű kódot a GitHubra, amellyel évi 80 ezer dolláros profitot ígértek, és ami hetek alatt tucatnyi „star”-t és „forkot” kapott gyanútlan fejlesztőktől.

A csapda úgy működött, hogy a bot kódjába beletettek egy felesleges függőséget, amit a program valójában sosem használt. Mármint a használója semmire sem használhatta.

A csomag belsejében viszont ott lapult a malware, és aki telepítette a botot, attól a vírus nemcsak a kriptós kulcsokat szerezte meg, hanem kiszedte a Chrome-ban mentett jelszavakat, az SSH-kulcsokat, a felhő-hozzáféréseket, és még a jelszókezelőkből (mint a Bitwarden vagy 1Password) származó adatokat is.


A megtévesztés foka

Korábban, a StepSecurity által márciusban felfedezett eset során a támadók még arra is képesek voltak, hogy hivatalos, verifikált (például japán DeFi projektekhez tartozó) GitHub-szervezeteket törjenek fel, hogy a vírusos Polymarket-kódjaikat hitelesebbnek mutassák.

Ha fejlesztő vagy, és egy AI-agentet, arbitrázsbotot vagy copy-trading scriptet akarsz építeni a Polymarketre, az első és legfontosabb dolgod a paranoia.

Ha egy tökéletes bot kódjában csak egyetlen felesleges npm csomag lapul, a telepítés pillanatában nemcsak a Polymarket-egyenlegednek mondhatsz búcsút, hanem szó szerint odaadhatod az egész digitális életedet, felhőstől, jelszavastól, mindenestől a hackereknek.

Olvastad már? Vételi jelzést villantott a bitcoin, de a medvepiaci mélypont még nem biztos

Mészáros András
Szerző:
Kriptoworld.hu szerkesztője, a Kriptoworld.hu alapítója
LinkedIn | X (Twitter) | Facebook

A Kriptoworld.hu alapítójaként és szerkesztőjeként írásaiban azt vizsgálom, hogyan alakítják át a gazdasági és technológiai változások az emberek döntéseit, biztonságérzetét és jövőképét. Olyan nézőpontból írok, amely a gyors hírek mögötti következményeket és kérdéseket keresi. Hiszek abban, hogy a kriptovilágról nem csak technikailag, hanem emberi nyelven is lehet hitelesen beszélni. Írásaim célja nem tanácsadás, hanem megértés: segíteni eligazodni egy olyan világban, ahol a pénz, a technológia és a bizalom egyszerre változik.

📅 Megjelenés: 2026. július 4. • 🕓 Utolsó frissítés: 2026. július 4.
✉️ Kapcsolat: [email protected]


Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást. Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!

A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.

Legfrissebb bejegyzéseink

A kriptós hype most digitális Pokémon-kártyákban és gacha tokenekben keres új aranybányát

A kriptó mindig megtalálja a leggyorsabb utat a spekulációhoz. Ami tavaly egy vicces mémcoin vagy egy furcsa majmos NFT volt, az mostanra átvedlett gyerekkorunk legnagyobb...

Adathalász hálózat bukott le, kriptón mosták a pénzt

A belga hatóságok letartóztattak egy 19 éves fiatalt, akit azzal gyanúsítanak, hogy kulcsszereplője volt egy európai adathalász- és pénzmosó hálózatnak. A hálózat hamis kormányzati e-mailekkel...

Vételi jelzést villantott a bitcoin, de a medvepiaci mélypont még nem biztos

A bitcoin ebben a hónapban újabb, medvepiaci mélypontra utaló jelzést produkált, miközben az elemzések 2022 novemberével vonnak párhuzamot. A bitcoin profitmutatója a 2022-es medvepiaci mélypontzónát idézi Pénteki...

Történelmi mélyponton az XRP: vételi ablakot jeleznek az on-chain adatok

Az XRP történelmileg alacsony MVRV-mutatói arra utalnak, hogy a lejtmenet nagy részét már beárazta a piac. Az XRP nagyjából 5%-kal emelkedett az elmúlt 24 órában, ami...

Legolvasottabb híreink

Vendégbejegyzések

SZERETNÉD MEGKAPNI LEGFRISSEBB HÍREINKET? IRATKOZZ FEL HÍRLEVELÜNKRE!

Mező kötelező.