- Специальный корреспондент
Поддельные SDK отправляют мнемонические фразы в чужие руки. Каждая установка может обернуться катастрофой.
В экосистеме обнаружили четыре вредоносные библиотеки, которые нацелены на кражу криптовалютных кошельков у разработчиков Ethereum. Анализ компании Socket , что они маскировались под легитимные криптографические инструменты и SDK для инфраструктуры Flashbots MEV, но на самом деле отправляли приватные ключи и мнемонические фразы в Telegram-бот злоумышленников.
Автором загрузок оказался пользователь с ником «flashbotts». Первая библиотека появилась ещё в сентябре 2023 года, а последняя — 19 августа 2025-го. Среди пакетов: @flashbotts/ethers-provider-bundle (52 скачивания), flashbot-sdk-eth (467 скачиваний), sdk-ethers (90 скачиваний) и gram-utilz (83 скачивания). Все они на момент публикации доступны для установки. Выбор Flashbots неслучаен — эта организация известна борьбой с негативными эффектами MEV на сети , поэтому имитация официальных SDK повышала доверие у операторов ботов и DeFi-разработчиков.
Наибольшую угрозу представляет @flashbotts/ethers-provider-bundle. Под видом полной совместимости с API Flashbots библиотека внедряла скрытые механизмы: она передавала переменные окружения через SMTP-сервис Mailtrap, перенаправляла неподписанные транзакции на кошельки злоумышленников и собирала метаданные о предварительно подготовленных операциях.
Другой пакет, flashbot-sdk-eth, также был заточен на похищение приватных ключей. Тем временем, sdk-ethers внешне также выглядел безвредным, но содержал две функции, которые при активации отправляли сид-фразы в . Gram-utilz использовался для универсальной пересылки любых данных в чат оператора.
Так как мнемоническая фраза является «главным ключом» к восстановлению криптокошелька, её утечка даёт полный доступ к активам. функции были тщательно замаскированы под полезный код, что усложняло выявление угрозы. В исходниках нашли комментарии на вьетнамском языке, что позволяет предположить вьетнамское происхождение атакующей группы.
По оценке специалистов Socket, атака стала примером целенаправленного использования доверия к экосистеме Flashbots и npm. Разработчики, работающие с MEV или торговыми ботами, могли невольно встроить вредоносный код в проекты, подвергая горячие риску немедленной и безвозвратной кражи средств.
В экосистеме обнаружили четыре вредоносные библиотеки, которые нацелены на кражу криптовалютных кошельков у разработчиков Ethereum. Анализ компании Socket , что они маскировались под легитимные криптографические инструменты и SDK для инфраструктуры Flashbots MEV, но на самом деле отправляли приватные ключи и мнемонические фразы в Telegram-бот злоумышленников.
Автором загрузок оказался пользователь с ником «flashbotts». Первая библиотека появилась ещё в сентябре 2023 года, а последняя — 19 августа 2025-го. Среди пакетов: @flashbotts/ethers-provider-bundle (52 скачивания), flashbot-sdk-eth (467 скачиваний), sdk-ethers (90 скачиваний) и gram-utilz (83 скачивания). Все они на момент публикации доступны для установки. Выбор Flashbots неслучаен — эта организация известна борьбой с негативными эффектами MEV на сети , поэтому имитация официальных SDK повышала доверие у операторов ботов и DeFi-разработчиков.
Наибольшую угрозу представляет @flashbotts/ethers-provider-bundle. Под видом полной совместимости с API Flashbots библиотека внедряла скрытые механизмы: она передавала переменные окружения через SMTP-сервис Mailtrap, перенаправляла неподписанные транзакции на кошельки злоумышленников и собирала метаданные о предварительно подготовленных операциях.
Другой пакет, flashbot-sdk-eth, также был заточен на похищение приватных ключей. Тем временем, sdk-ethers внешне также выглядел безвредным, но содержал две функции, которые при активации отправляли сид-фразы в . Gram-utilz использовался для универсальной пересылки любых данных в чат оператора.
Так как мнемоническая фраза является «главным ключом» к восстановлению криптокошелька, её утечка даёт полный доступ к активам. функции были тщательно замаскированы под полезный код, что усложняло выявление угрозы. В исходниках нашли комментарии на вьетнамском языке, что позволяет предположить вьетнамское происхождение атакующей группы.
По оценке специалистов Socket, атака стала примером целенаправленного использования доверия к экосистеме Flashbots и npm. Разработчики, работающие с MEV или торговыми ботами, могли невольно встроить вредоносный код в проекты, подвергая горячие риску немедленной и безвозвратной кражи средств.
