Одна лишняя «t». Разработчики Ethereum теряют кошельки через Telegram-боты

npm Socket Flashbots Ethereum криптокошельки Telegram цепочка поставок
Одна лишняя «t». Разработчики Ethereum теряют кошельки через Telegram-боты
npm Socket Flashbots Ethereum криптокошельки Telegram цепочка поставок

Поддельные SDK отправляют мнемонические фразы в чужие руки. Каждая установка может обернуться катастрофой.

image

В экосистеме npm обнаружили четыре вредоносные библиотеки, которые нацелены на кражу криптовалютных кошельков у разработчиков Ethereum. Анализ компании Socket показал , что они маскировались под легитимные криптографические инструменты и SDK для инфраструктуры Flashbots MEV, но на самом деле отправляли приватные ключи и мнемонические фразы в Telegram-бот злоумышленников.

Автором загрузок оказался пользователь с ником «flashbotts». Первая библиотека появилась ещё в сентябре 2023 года, а последняя — 19 августа 2025-го. Среди пакетов: @flashbotts/ethers-provider-bundle (52 скачивания), flashbot-sdk-eth (467 скачиваний), sdk-ethers (90 скачиваний) и gram-utilz (83 скачивания). Все они на момент публикации доступны для установки. Выбор Flashbots неслучаен — эта организация известна борьбой с негативными эффектами MEV на сети Ethereum , поэтому имитация официальных SDK повышала доверие у операторов ботов и DeFi-разработчиков.

Наибольшую угрозу представляет @flashbotts/ethers-provider-bundle. Под видом полной совместимости с API Flashbots библиотека внедряла скрытые механизмы: она передавала переменные окружения через SMTP-сервис Mailtrap, перенаправляла неподписанные транзакции на кошельки злоумышленников и собирала метаданные о предварительно подготовленных операциях.

Другой пакет, flashbot-sdk-eth, также был заточен на похищение приватных ключей. Тем временем, sdk-ethers внешне также выглядел безвредным, но содержал две функции, которые при активации отправляли сид-фразы в Telegram . Gram-utilz использовался для универсальной пересылки любых данных в чат оператора.

Так как мнемоническая фраза является «главным ключом» к восстановлению криптокошелька, её утечка даёт полный доступ к активам. Вредоносные функции были тщательно замаскированы под полезный код, что усложняло выявление угрозы. В исходниках нашли комментарии на вьетнамском языке, что позволяет предположить вьетнамское происхождение атакующей группы.

По оценке специалистов Socket, атака стала примером целенаправленного использования доверия к экосистеме Flashbots и npm. Разработчики, работающие с MEV или торговыми ботами, могли невольно встроить вредоносный код в проекты, подвергая горячие криптокошельки риску немедленной и безвозвратной кражи средств.