O ecossistema Solana apresenta novamente Bots maliciosos: o arquivo de configuração esconde a armadilha de exposição da Chave privada.
No início de julho de 2025, um usuário pediu ajuda à equipe de segurança, alegando que seus ativos criptográficos foram roubados. A investigação revelou que o incidente se originou do uso pelo usuário de um projeto de código aberto chamado solana-pumpfun-bot no GitHub, que acionou um comportamento oculto de roubo de moedas.
Recentemente, mais usuários tiveram seus ativos roubados devido ao uso de projetos de código aberto semelhantes ao audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. A equipe de segurança realizou uma análise aprofundada sobre isso.
Processo de análise
Análise estática
Análise revelou que o código suspeito está localizado no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método primeiro chama import_wallet() para obter a Chave privada, e depois verifica o comprimento da Chave privada:
Se o comprimento for inferior a 85, imprima uma mensagem de erro e entre em um loop infinito
Se o comprimento for superior a 85, converta a chave privada em um objeto Keypair e encapsule.
Depois, o código malicioso decodifica o endereço do servidor do atacante e constrói um corpo de solicitação JSON para enviar a chave privada para esse endereço. Ao mesmo tempo, esse método também inclui funcionalidades normais, como obtenção de preços, para disfarçar seu comportamento malicioso.
O método create_coingecko_proxy() é chamado na inicialização da aplicação, localizado na fase de inicialização do arquivo de configuração do método main() em main.rs.
O IP do servidor do atacante está localizado nos Estados Unidos. O projeto foi recentemente atualizado no GitHub, alterando principalmente a codificação do endereço do servidor no config.rs.
Análise dinâmica
Para observar de forma intuitiva o processo de roubo, escrevemos um script para gerar pares de chaves de teste e configuramos um servidor para receber requisições POST. Substitua o endereço do servidor de teste pelo endereço malicioso original e atualize a chave privada no arquivo .env.
Após a ativação do código malicioso, o servidor de teste recebeu com sucesso dados JSON contendo a chave privada.
Indicadores de intrusão
IP: 103.35.189.28
Domínio: storebackend-qpq3.onrender.com
Armazém malicioso:
Resumo
Os atacantes disfarçam-se como projetos de código aberto legítimos, induzindo os usuários a executar código malicioso. O projeto lê informações sensíveis do arquivo .env local e transfere a chave privada roubada para o servidor do atacante.
Sugere-se que os desenvolvedores e os usuários mantenham-se alertas em relação a projetos no GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou Chave privada. Se precisar executar ou depurar, deve fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos de origem desconhecida.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
12 gostos
Recompensa
12
6
Partilhar
Comentar
0/400
MysteryBoxBuster
· 6h atrás
Tsk tsk tsk, mais uma vez a armadilha.
Ver originalResponder0
gas_fee_therapist
· 6h atrás
A Solana é realmente difícil de controlar, começando pelos detalhes.
Ver originalResponder0
GateUser-75ee51e7
· 6h atrás
Explosão, realmente estou cansado.
Ver originalResponder0
AllTalkLongTrader
· 6h atrás
idiotas多灾多难...别被 fazer as pessoas de parvas了
Ver originalResponder0
MeltdownSurvivalist
· 6h atrás
Não comprar marcas genéricas de Código aberto é o certo.
Ver originalResponder0
BridgeNomad
· 6h atrás
não são suas chaves, não é sua criptomoeda... outro exploit do solana smh
Solana ecossistema revela novamente Bots maliciosos que roubam Chave privada. Use Código aberto com cautela.
O ecossistema Solana apresenta novamente Bots maliciosos: o arquivo de configuração esconde a armadilha de exposição da Chave privada.
No início de julho de 2025, um usuário pediu ajuda à equipe de segurança, alegando que seus ativos criptográficos foram roubados. A investigação revelou que o incidente se originou do uso pelo usuário de um projeto de código aberto chamado solana-pumpfun-bot no GitHub, que acionou um comportamento oculto de roubo de moedas.
Recentemente, mais usuários tiveram seus ativos roubados devido ao uso de projetos de código aberto semelhantes ao audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. A equipe de segurança realizou uma análise aprofundada sobre isso.
Processo de análise
Análise estática
Análise revelou que o código suspeito está localizado no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método primeiro chama import_wallet() para obter a Chave privada, e depois verifica o comprimento da Chave privada:
Depois, o código malicioso decodifica o endereço do servidor do atacante e constrói um corpo de solicitação JSON para enviar a chave privada para esse endereço. Ao mesmo tempo, esse método também inclui funcionalidades normais, como obtenção de preços, para disfarçar seu comportamento malicioso.
O método create_coingecko_proxy() é chamado na inicialização da aplicação, localizado na fase de inicialização do arquivo de configuração do método main() em main.rs.
O IP do servidor do atacante está localizado nos Estados Unidos. O projeto foi recentemente atualizado no GitHub, alterando principalmente a codificação do endereço do servidor no config.rs.
Análise dinâmica
Para observar de forma intuitiva o processo de roubo, escrevemos um script para gerar pares de chaves de teste e configuramos um servidor para receber requisições POST. Substitua o endereço do servidor de teste pelo endereço malicioso original e atualize a chave privada no arquivo .env.
Após a ativação do código malicioso, o servidor de teste recebeu com sucesso dados JSON contendo a chave privada.
Indicadores de intrusão
IP: 103.35.189.28
Domínio: storebackend-qpq3.onrender.com
Armazém malicioso:
Resumo
Os atacantes disfarçam-se como projetos de código aberto legítimos, induzindo os usuários a executar código malicioso. O projeto lê informações sensíveis do arquivo .env local e transfere a chave privada roubada para o servidor do atacante.
Sugere-se que os desenvolvedores e os usuários mantenham-se alertas em relação a projetos no GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou Chave privada. Se precisar executar ou depurar, deve fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos de origem desconhecida.