關鍵安全警報：Polymarket 交易機器人中發現惡意程式碼，可能危及您的私鑰

安全專家已對自動交易工具中潛藏的危險威脅發出警告。一名開發者在Polymarket複製交易機器人中偽裝惡意程式碼，打造出一個針對用戶最敏感數位資產的高階攻擊。當用戶啟動應用程式時，它會悄悄地竊取“.env”配置檔（常用來存放錢包私鑰），並將這些資料直接傳送到攻擊者控制的伺服器。

攻擊：你交易工具中的隱藏威脅

攻擊者採用欺騙性開發技術，策略性地在GitHub上反覆修改程式碼提交，以掩蓋惡意載荷。這種刻意的混淆展現出攻擊者在躲避程式碼審查過程中的高超技巧。一旦機器人取得“.env”檔，存放加密憑證的關鍵資料就成為皇冠上的明珠。私鑰竊取是加密貨幣中最具破壞性的攻擊之一，能夠完全控制帳戶並盜取資金。

SlowMist CISO指出日益增加的利用模式

在2025年12月底，SlowMist科技的資安長23pds透過轉發貼文向安全社群發出重要警告。該警告強調，開發存放庫中隱藏的惡意程式碼已成為日益普遍的攻擊手段。“這並非第一次出現此類利用，也不會是最後一次，”23pds提醒，凸顯此類漏洞的週期性特徵。

自我防護：對抗惡意程式碼威脅的基本措施

用戶在下載第三方交易應用時，必須提高警覺。驗證來源的真實性，審查程式碼存放庫中的可疑模式，並且絕不從未經驗證的開發者處下載工具。對於涉及私鑰的敏感操作，建議使用硬體錢包或空隔系統，絕不在線上暴露憑證。在此威脅環境下，定期對開發環境配置檔進行安全審查仍是必要之舉。