عودة بوتات خبيثة في نظام Solana: ملف التكوين يحتوي على فخ لتسريب المفتاح الخاص
في أوائل يوليو 2025، طلب أحد المستخدمين المساعدة من فريق الأمان، حيث أفاد بأن أصوله المشفرة قد سُرقت. أظهرت التحقيقات أن الحادث نشأ من استخدام هذا المستخدم لمشروع مفتوح المصدر يسمى solana-pumpfun-bot على GitHub، مما أدى إلى تفعيل سلوك سرقة العملات المخفي.
مؤخراً، تعرض مستخدمون آخرون للسرقة بسبب استخدام مشاريع مفتوحة المصدر مشابهة مثل audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. قامت فريق الأمان بتحليل شامل لذلك.
عملية التحليل
التحليل الثابت
تحليل كشف أن الشيفرة المشبوهة تقع في ملف التكوين /src/common/config.rs، وتركز بشكل أساسي في طريقة create_coingecko_proxy(). تتصل هذه الطريقة أولاً بـ import_wallet() للحصول على المفتاح الخاص، ثم تقوم بالتحقق من طول المفتاح الخاص:
إذا كانت الطول أقل من 85، اطبع رسالة خطأ وادخل في حلقة لا نهائية
إذا كانت الطول أكبر من 85، قم بتحويل المفتاح الخاص إلى كائن Keypair وتغليفه
ثم قام الشيفرة الخبيثة بفك تشفير عنوان خادم المهاجم، وبناء جسم طلب JSON لإرسال المفتاح الخاص إلى هذا العنوان. في الوقت نفسه، تتضمن هذه الطريقة أيضًا الحصول على الأسعار وغيرها من الوظائف العادية لإخفاء سلوكها الخبيث.
تُستدعى طريقة create_coingecko_proxy() عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف التكوين لطريقة main() في main.rs.
عنوان IP لخادم المهاجم يقع في الولايات المتحدة. تم تحديث المشروع مؤخرًا على GitHub، حيث تم تغيير ترميز عنوان الخادم في config.rs.
لرؤية عملية السرقة بشكل واضح، قمنا بكتابة سكربت لإنشاء أزواج مفاتيح اختبار، وقمنا بإنشاء خادم لاستقبال طلبات POST. استبدل عنوان الخادم التجريبي بعنوان الخادم الضار وقم بتحديث المفتاح الخاص في ملف .env.
بعد تشغيل الشيفرة الضارة، نجح خادم الاختبار في تلقي بيانات JSON تحتوي على المفتاح الخاص.
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص](https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp019283746574839201
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف التكوين يحتوي على فخ تسرب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
مؤشرات الاختراق
رقم الملكية الفكرية: 103.35.189.28
اسم المجال: storebackend-qpq3.onrender.com
مستودع خبيث:
ملخص
المهاجمون يتنكرون في شكل مشاريع مفتوحة المصدر شرعية، مما يحث المستخدمين على تنفيذ الأكواد الخبيثة. يقوم المشروع بقراءة المعلومات الحساسة من ملف .env المحلي، وينقل المفتاح الخاص المسروق إلى خادم المهاجم.
ينبغي على المطورين والمستخدمين توخي الحذر بشأن مشاريع GitHub غير المعروفة، خاصةً تلك التي تتعلق بمحافظ أو عمليات المفاتيح الخاصة. إذا كان من الضروري التشغيل أو التصحيح، يجب القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة، وتجنب تنفيذ البرامج والأوامر التي مصدرها غير معروف.
![تظهر بوتات خبيثة في نظام Solana البيئي: ملف الإعدادات يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 12
أعجبني
12
6
مشاركة
تعليق
0/400
MysteryBoxBuster
· منذ 3 س
تزة تزة تزة، مرة أخرى نرى الفخ
شاهد النسخة الأصليةرد0
gas_fee_therapist
· منذ 3 س
بالفعل من الصعب السيطرة على سولانا، يجب البدء من التفاصيل.
شاهد النسخة الأصليةرد0
GateUser-75ee51e7
· منذ 3 س
انفجر ، أنا متعب حقًا
شاهد النسخة الأصليةرد0
AllTalkLongTrader
· منذ 3 س
حمقى多灾多难...别被 خداع الناس لتحقيق الربح了
شاهد النسخة الأصليةرد0
MeltdownSurvivalist
· منذ 3 س
لا تشتري العلامات التجارية المجهولة، مفتوح المصدر هو الخيار الصحيح.
شاهد النسخة الأصليةرد0
BridgeNomad
· منذ 3 س
ليس لديك مفاتيحك، ليس لديك عملاتك المشفرة... استغلال آخر لسولانا، عذرًا.
تظهر بيئة Solana مرة أخرى بوتات خبيثة تسرق المفتاح الخاص. استخدم مشاريع مفتوحة المصدر بحذر.
عودة بوتات خبيثة في نظام Solana: ملف التكوين يحتوي على فخ لتسريب المفتاح الخاص
في أوائل يوليو 2025، طلب أحد المستخدمين المساعدة من فريق الأمان، حيث أفاد بأن أصوله المشفرة قد سُرقت. أظهرت التحقيقات أن الحادث نشأ من استخدام هذا المستخدم لمشروع مفتوح المصدر يسمى solana-pumpfun-bot على GitHub، مما أدى إلى تفعيل سلوك سرقة العملات المخفي.
مؤخراً، تعرض مستخدمون آخرون للسرقة بسبب استخدام مشاريع مفتوحة المصدر مشابهة مثل audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. قامت فريق الأمان بتحليل شامل لذلك.
عملية التحليل
التحليل الثابت
تحليل كشف أن الشيفرة المشبوهة تقع في ملف التكوين /src/common/config.rs، وتركز بشكل أساسي في طريقة create_coingecko_proxy(). تتصل هذه الطريقة أولاً بـ import_wallet() للحصول على المفتاح الخاص، ثم تقوم بالتحقق من طول المفتاح الخاص:
ثم قام الشيفرة الخبيثة بفك تشفير عنوان خادم المهاجم، وبناء جسم طلب JSON لإرسال المفتاح الخاص إلى هذا العنوان. في الوقت نفسه، تتضمن هذه الطريقة أيضًا الحصول على الأسعار وغيرها من الوظائف العادية لإخفاء سلوكها الخبيث.
تُستدعى طريقة create_coingecko_proxy() عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف التكوين لطريقة main() في main.rs.
عنوان IP لخادم المهاجم يقع في الولايات المتحدة. تم تحديث المشروع مؤخرًا على GitHub، حيث تم تغيير ترميز عنوان الخادم في config.rs.
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة نقل المفتاح الخاص المخفية
التحليل الديناميكي
لرؤية عملية السرقة بشكل واضح، قمنا بكتابة سكربت لإنشاء أزواج مفاتيح اختبار، وقمنا بإنشاء خادم لاستقبال طلبات POST. استبدل عنوان الخادم التجريبي بعنوان الخادم الضار وقم بتحديث المفتاح الخاص في ملف .env.
بعد تشغيل الشيفرة الضارة، نجح خادم الاختبار في تلقي بيانات JSON تحتوي على المفتاح الخاص.
! الاستنساخ البيئي ل Solana للروبوتات الخبيثة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفاتيح الخاصة المخفية
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص](https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp019283746574839201
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف التكوين يحتوي على فخ تسرب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
مؤشرات الاختراق
رقم الملكية الفكرية: 103.35.189.28
اسم المجال: storebackend-qpq3.onrender.com
مستودع خبيث:
ملخص
المهاجمون يتنكرون في شكل مشاريع مفتوحة المصدر شرعية، مما يحث المستخدمين على تنفيذ الأكواد الخبيثة. يقوم المشروع بقراءة المعلومات الحساسة من ملف .env المحلي، وينقل المفتاح الخاص المسروق إلى خادم المهاجم.
ينبغي على المطورين والمستخدمين توخي الحذر بشأن مشاريع GitHub غير المعروفة، خاصةً تلك التي تتعلق بمحافظ أو عمليات المفاتيح الخاصة. إذا كان من الضروري التشغيل أو التصحيح، يجب القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة، وتجنب تنفيذ البرامج والأوامر التي مصدرها غير معروف.
![تظهر بوتات خبيثة في نظام Solana البيئي: ملف الإعدادات يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(