複製交易機器人的隱藏威脅，用戶的個人密鑰正面臨風險

最近在Copy Trading熱潮中，暴露出一些需要注意的風險。去年12月中旬，安全業界發出嚴重警告：在下載Polymarket的Copy Trading機器人時，無意中安裝的工具中可能藏有黑客用來竊取個人密鑰的惡意工具。

GitHub上偽裝成惡意程式的真相

SlowMist Technology的資安主管(CISO) 23pds在社群中公開的安全警告指出，部分Polymarket Copy Trading機器人的開發者故意在代碼公開平台GitHub上隱藏惡意程式碼。

這些惡意程式的運作方式非常精巧。當用戶執行Copy Trading程式時，系統會自動偵測並收集存有錢包私鑰的".env"檔案，然後將私鑰傳送到黑客的遠端伺服器，導致用戶資產暴露。

重複隱藏，證明惡意意圖

尤其令人擔憂的是，開發者多次修改程式碼，持續偽裝成正當的套件，這明顯是有意的惡意行為。

23pds CISO表示：「這不是首次發現此類案例，未來也可能出現類似威脅」，呼籲用戶提高警覺。安全專家已多次觀察到類似攻擊模式反覆出現，預計網路犯罪分子會持續嘗試新手法。

用戶須注意的Copy Trading工具使用方式

對於有興趣參與Copy Trading的用戶來說，有幾點必須記住。首先，只在來源明確且經過驗證的平台下載工具，並且在GitHub等公開平台上，也要充分確認開發者的聲譽與社群評價。尤其是涉及敏感資訊的程式，如".env"檔案，更要格外謹慎審查。

不要忽視SlowMist等安全專家的警告，始終以懷疑的眼光評估新出的Copy Trading工具，才是明智投資者的態度。