【緊急警告】GitHubの「Solana-pumpfun-bot」に仮想通貨盗難の罠!SlowMistが巧妙化するハッカー手法を暴露
2025年7月、仮想通貨セキュリティ企業SlowMistはGitHub上で公開されていた「Solana-pumpfun-bot」というオープンソースプロジェクトに、ウォレット資産を盗む悪意あるコードが仕込まれていることを発見しました。この事件は単なる技術的な攻撃ではなく、ソーシャルエンジニアリングを駆使した高度に組織化された詐欺でした。本記事では、被害の全容やハッカーの手口、そして仮想通貨業界全体で増加する「オフチェーン攻撃」の最新トレンドについて、BTCCアナリストチームが徹底解説します。
Solana-pumpfun-bot事件の全貌
2025年7月2日、SlowMistセキュリティチームはある被害者からの相談を受け、調査を開始しました。被害者はGitHubで公開されていた「SOLana-pumpfun-bot」というプロジェクトを使用した翌日、ウォレット内の資産が不正に送金されていることに気付いたのです。調査の結果、このプロジェクトには「crypto-layout-utils」という悪意ある依存パッケージが含まれており、ユーザーのPC上でウォレット関連ファイルを探索し、攻撃者のサーバーに送信する機能が確認されました。
さらに驚くべきは、この攻撃が単独の犯行ではなく、複数のGitHubアカウントを巧妙に使い分けた組織的犯行だった点です。攻撃者は複数のアカウントでプロジェクトをフォークし、人為的にプロジェクトの知名度を上げることで信頼性を偽装していました。類似の悪意あるフォークプロジェクトの中には、「bs58-encrypt-utils」という別の悪意あるパッケージを使用しているものも確認されています。
Source: SlowMist
進化するハッキング手法:技術より「人間の心理」を狙う
SloWMistのリサーチ部門責任者Lisa氏によると、近年の仮想通貨関連のハッキングでは、純粋な技術的攻撃から「人間の心理的弱点」を突く手法へとシフトしているとのこと。「『リスク署名が検出されました』といった警告文でパニックを誘発し、通常ならしない行動を取らせるのが最近のトレンドです」とLisa氏は指摘します。
具体的な手口としては、NotionやZoomなどの正規サイトを装ったフィッシングサイトの作成、ハッキングされたハードウェアウォレットの配布、さらには「抽選で当選しました」といったソーシャルエンジニアリングを駆使した手法が確認されています。特に危険なのは、EIP-7702という最新のイーサリアム機能を悪用した攻撃で、Pectraアップデート後に急増しているとの報告もあります。
2025年上半期のセキュリティ動向
SlowMistのデータによると、2025年上半期にDeFiプラットフォームで発生したセキュリティ被害額は約4億7000万ドルに上り、その大半がイーサリアムエコシステムで発生しています。この数字は前年同期比で15%増加しており、攻撃の巧妙化が被害拡大の一因と考えられます。
BTCCのシニアアナリストは「仮想通貨ユーザーは、オープンソースプロジェクトを使用する際にも、常にセキュリティを最優先に考える必要があります。特にGitHubで公開されているツールは、一見信頼できそうでも、必ずコードを精査し、不審な依存関係がないか確認すべきです」と警鐘を鳴らしています。
よくある質問
Solana-pumpfun-botの被害に遭った場合、どうすればよいですか?
まず直ちに影響を受けたウォレットからの資産移転を停止し、SlowMistや他のセキュリティ企業に報告してください。また、使用していたデバイスのフォーマットとOSの再インストールを検討しましょう。
オープンソースプロジェクトの安全性を確認する方法は?
プロジェクトの作成者の活動歴、コミュニティの評価、依存関係の安全性を多角的にチェックすることが重要です。BTCC Academyでは、安全なDeFiプロジェクトの見分け方に関する無料講座を提供しています。
ハードウェアウォレットは本当に安全ですか?
一般的にハードウェアウォレットは安全ですが、今回の事件のように物理的なデバイスが改ざんされるケースもあります。信頼できる販売元から直接購入し、初期設定を慎重に行うことが不可欠です。
