吴说获悉，慢雾安全团队披露 GitHub 热门开源项目“solana-pumpfun-bot”藏有盗币陷阱，受害者运行该项目后钱包资产被盗。攻击者在依赖包中植入恶意代码，扫描并上传用户私钥至控制服务器，相关地址资金已流入 FixedFloat。该项目通过刷 Star 和 Fork 数量提升可信度，诱导更多用户下载运行，部分 Fork 项目亦发现类似恶意行为。慢雾建议开发者慎用来源不明的 GitHub 工具，涉及钱包操作应在无敏感数据的独立环境中运行。 http://wublock123.com/index.php?m=content&c=index&a=show&catid=6&id=44998