GitLab の脆弱性リサーチチームは、Bittensor エコシステムを標的とした暗号通貨窃盗キャンペーンを発見しました。洗練された攻撃者は、PyPI 上で Bittensor の正規パッケージに似せたタイポスクワットされた Python パッケージを使用しました。これらの悪意のあるパッケージは、2025 年 8 月 6 日に短期間で公開されました。攻撃者は特に Bittensor パッケージ内のステーキング機能を標的にしました。ユーザーの全資金を秘密裏に自分のウォレットに転用するために悪意のあるコードが注入されました。これは、確認をバイパスし、ウォレット全体を空にするためのオプションを使用して stake_extrinsic 関数をハイジャックすることによって達成されました。ステーキングは、ユーザーが多額の暗号通貨を保有し、これらの操作中にウォレットへのアクセスを許可するため、攻撃ベクトルとして選択されました。この攻撃は、ステーキングの日常的な性質を悪用し、悪意のある活動をそれほど疑わしくないようにしました。資金は、複雑なマネーロンダリングネットワークを通じて追跡され、最終的な集約ウォレットに集束しました。タイポスクワッティング戦略は、パッケージインストールのための一般的なタイピングミスとバージョン模倣を悪用しました。GitLab の積極的なセキュリティ対策と自動化システムは、この脅威の検出と報告に不可欠でした。迅速な対応は、継続的なサプライチェーンセキュリティ監視の重要性を強調しています。