import { Image } from 'next/image'

Solana PumpFun Bot GitHub 사기 폭로

안녕하세요, 크립토 애호가 여러분! 블록체인 세계를 주시해왔다면, 2025년 7월 4일 SlowMist 팀이 보고한 충격적인 사건을 접했을지도 모릅니다. 겉보기에는 합법적인 GitHub 프로젝트인 solana-pumpfun-bot이 무고한 사용자들의 암호화폐 자산을 탈취하는 교묘한 함정으로 드러났습니다. 사건의 전말과 안전하게 지낼 수 있는 방법을 함께 알아봅시다.

사기의 전개 과정

2025년 7월 2일, 피해자가 암호화폐를 잃은 후 SlowMist에 신고했습니다. 범인은? Solana 블록체인에서 거래에 도움이 될 거라 믿고 GitHub에서 solana-pumpfun-bot 프로젝트를 다운로드하고 실행한 것입니다. 이 Node.js 기반 프로젝트는 인기 플랫폼 PumpFun에서 신규 토큰을 스나이핑한다고 약속했지만, 끔찍한 반전이 있었습니다.

처음엔 프로젝트가 그럴듯해 보였습니다. GitHub에서 별(stars)과 포크(forks)가 꽤 많아 인기 있는 프로젝트처럼 보였죠. 그러나 문제는 코드에 악성 의존성이 숨어있었다는 점입니다. 특히 crypto-layout-utils라는 교묘한 패키지는 개인 키와 지갑 데이터를 스캔해 공격자가 운영하는 서버(githubshadow.xyz)로 정보를 전송하도록 설계되어 있었습니다. 충격적이죠!

속임수의 수법

이 사기가 어떻게 사용자들을 속였을까요? 공격자들은 소셜 엔지니어링과 기술적 속임수를 섞어 사용했습니다. 여러 GitHub 계정을 만들어 저장소를 포크하고 별을 추가해 인위적으로 프로젝트 신뢰도를 높였죠. 그래서 마치 신뢰받는 커뮤니티 프로젝트처럼 보이게 만들었습니다. 게다가 악성 패키지는 공식 NPM 레지스트리가 아닌 별도의 커스텀 URL에 호스팅되어 발견이 더 어려웠습니다.

SlowMist의 조사에 따르면, 공격자는 package-lock.json 파일 내 NPM 소스 링크도 교체해 의심스러운 다운로드 링크(https://github.com/sjaduwhv/testing-dev-log/releases/download/1.3.1/crypto-layout-utils-1.3.1.tgz)를 가리키도록 했습니다. 설치되면 난독화된 코드가 은밀하게 작동해 민감한 정보를 빼내갑니다.

누가 위험한가?

이 사기는 특히 Solana 기반 거래 봇에 관심이 있는 초보 사용자들을 노렸습니다. PumpFun에서 토큰 스나이핑으로 쉽게 수익을 낼 수 있다는 유혹에 넘어간 사람들이 큰 대가를 치렀죠. 공격자들은 bs58-encrypt-utils 같은 다른 악성 패키지들도 사용했고, 가짜 저장소 네트워크를 만들어 악성코드를 더욱 퍼뜨렸습니다.

크립토 세계에서 안전하게 지내는 법

걱정 마세요—스스로를 지킬 방법은 있습니다! 실용적인 팁 몇 가지를 소개합니다:

• GitHub 프로젝트 철저히 검증하기: 저장소의 히스토리, 기여자, 업데이트 빈도를 꼭 확인하세요. 갑작스러운 별이나 포크 급증은 의심 신호입니다.
• 격리된 환경에서 테스트하기: 샌드박스나 가상 머신에서 새로운 프로젝트를 실행해 실제 지갑 데이터는 안전하게 보호하세요.
• 개인 키 공유 금지: 신뢰할 수 없는 출처라면 개인 키나 지갑 접근 권한을 요구하는 코드는 절대 실행하지 마세요.
• 소프트웨어 최신 상태 유지하기: 도구와 의존성을 정기적으로 업데이트해 취약점을 예방하세요.

SlowMist는 주의해야 할 악성 저장소와 패키지 목록도 공유했으니, 피하는 데 참고하세요. 더 자세한 내용은 Medium 보고서에서 확인할 수 있습니다.

밈 토큰 팬들에게 왜 중요한가

Meme Insider에서는 밈 토큰과 블록체인 기술의 다양한 소식을 전하며 여러분이 안전하게 이 세계를 탐험할 수 있도록 돕고 있습니다. 이런 사기는 흥미로운 도구들도 위험을 내포할 수 있음을 일깨워 줍니다. Solana 기반 밈 코인을 거래하거나 새로운 프로젝트를 탐색할 때, 정보를 잘 갖추는 것이 최고의 방어책입니다. 최신 뉴스와 풍부한 지식 기반으로 여러분을 지원하겠습니다!

마무리하며

Solana PumpFun Bot 사기는 크립토 커뮤니티에 보내는 경종입니다. 공격자들이 신뢰받는 플랫폼인 GitHub를 악용해 열성 팬들을 노릴 수 있다는 사실을 보여줍니다. 항상 조심하고 보안 모범 사례를 따르면 블록체인 공간을 안전하게 즐길 수 있습니다. 궁금한 점이나 여러분만의 팁이 있다면 댓글로 남겨 주세요—여러분의 이야기를 듣고 싶습니다!