7月2日，一名受害者在失去加密资产后联系了SlowMist团队。原因？运行一个看似合法的GitHub项目——zldp2002/solana pumpfun bot。 ️看起来安全的东西原来是一个巧妙伪装的陷阱。 我们的分析显示： 1.️⃣肇事者将恶意程序伪装成合法的开源项目（solana pumpfun bot），引诱用户下载并运行它。 2.️⃣它的人为流行（星/叉）掩盖了威胁——用户在不知不觉中运行了一个内嵌恶意依赖的Node.js项目，暴露了他们的私钥并丢失了资产。这种社交+技术的组合使其极具欺骗性。 ⚠️提醒：永远不要盲目信任GitHub项目，尤其是在涉及私钥或钱包的情况下。 如果必须测试它们，请在没有敏感数据的沙盒、隔离环境中进行。 全文： https://slowmist.media.com/a-pover-solana-tool-on-github-conceals-acrypto-stealing-rap-bfef0aed63d7 Web3安全节点JS开源安全GitHub