Solana ekosisteminde kötü niyetli Botlar yeniden ortaya çıktı: Konfigürasyon dosyası, Özel Anahtar sızdırma tuzağını gizliyor
2025 Temmuz'un başında, bir kullanıcı güvenlik ekibine yardım talebinde bulundu ve kripto varlıklarının çalındığını bildirdi. Araştırma, olayın kullanıcının GitHub'da solana-pumpfun-bot adında bir açık kaynak projesi kullanmasından kaynaklandığını ve gizli bir hırsızlık eylemini tetiklediğini gösterdi.
Son zamanlarda, kullanıcıların audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot gibi benzer açık kaynak projeleri kullanmaları nedeniyle varlıklarının çalındığı bildirildi. Güvenlik ekibi bu durumu derinlemesine analiz etti.
Analiz Süreci
Statik Analiz
Analizler, şüpheli kodun /src/common/config.rs yapılandırma dosyasında bulunduğunu, özellikle create_coingecko_proxy() yönteminde yoğunlaştığını ortaya koydu. Bu yöntem öncelikle import_wallet() çağrısını yaparak Özel Anahtar'ı alıyor, ardından Özel Anahtar'ın uzunluğunu kontrol ediyor:
Uzunluk 85'ten küçükse, hata mesajı yazdır ve sonsuz döngüye gir.
Eğer uzunluk 85'ten fazlaysa, Özel Anahtar'ı Keypair nesnesine dönüştür ve paketle
Ardından, kötü niyetli kod, saldırganın sunucu adresini çözerek, JSON istek gövdesini oluşturup özel anahtarı bu adrese gönderir. Aynı zamanda, bu yöntem, kötü niyetli davranışını gizlemek için fiyat alma gibi normal işlevler de içerir.
create_coingecko_proxy() yöntemi uygulama başlatıldığında çağrılır, main.rs içindeki main() yönteminin yapılandırma dosyası başlatma aşamasındadır.
Saldırganın sunucu IP'si Amerika'da bulunmaktadır. Bu proje son zamanlarda GitHub'da güncellendi, ana değişiklik config.rs dosyasındaki sunucu adresi kodlamasıdır.
Dinamik Analiz
Hırsızlık sürecini gözlemlemek için, test anahtar çiftleri oluşturmak üzere bir script yazdık ve POST isteklerini alacak bir sunucu kurduk. Test sunucu adresini kötü niyetli adresle değiştirdik ve .env dosyasındaki Özel Anahtar'ı güncelledik.
Kötü niyetli kod başlatıldıktan sonra, test sunucusu özel anahtar içeren JSON verisini başarıyla aldı.
İstila Göstergeleri
IP: 103.35.189.28
Alan Adı: storebackend-qpq3.onrender.com
Kötü Niyetli Depo:
Özet
Saldırganlar, meşru açık kaynak projelerine benzer şekilde giydirerek kullanıcıları kötü niyetli kodları çalıştırmaya yönlendiriyor. Proje, yerel .env dosyasındaki hassas bilgileri okur ve çalınan özel anahtarları saldırganın sunucusuna iletir.
Geliştiricilerin bilinmeyen kaynaklardan gelen GitHub projelerine karşı dikkatli olmaları önerilir, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda. Çalıştırmak veya hata ayıklamak gerekiyorsa, bağımsız ve hassas veriler içermeyen bir ortamda yapılmalı, kaynağı bilinmeyen programlar ve komutlar çalıştırılmamalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 Likes
Reward
12
6
Share
Comment
0/400
MysteryBoxBuster
· 5h ago
Tı tı tı, yine bir tuzakla karşılaştık.
View OriginalReply0
gas_fee_therapist
· 6h ago
solan gerçekten kontrol edilmesi zor, detaylardan başlamak gerekiyor
View OriginalReply0
GateUser-75ee51e7
· 6h ago
Patladı, gerçekten çok yoruldum.
View OriginalReply0
AllTalkLongTrader
· 6h ago
enayiler çok sıkıntı yaşıyor... insanları enayi yerine koymaktan kaçının
View OriginalReply0
MeltdownSurvivalist
· 6h ago
Açık Kaynak olmayan markaları satın almamak en doğrusu.
View OriginalReply0
BridgeNomad
· 6h ago
anahtarların senin değilse kripto da senin değil... bir başka solana istismarı smh
Solana ekosisteminde gizli özel anahtar çalan kötü niyetli botlar yeniden ortaya çıktı. Açık kaynak projelerini dikkatli kullanın.
Solana ekosisteminde kötü niyetli Botlar yeniden ortaya çıktı: Konfigürasyon dosyası, Özel Anahtar sızdırma tuzağını gizliyor
2025 Temmuz'un başında, bir kullanıcı güvenlik ekibine yardım talebinde bulundu ve kripto varlıklarının çalındığını bildirdi. Araştırma, olayın kullanıcının GitHub'da solana-pumpfun-bot adında bir açık kaynak projesi kullanmasından kaynaklandığını ve gizli bir hırsızlık eylemini tetiklediğini gösterdi.
Son zamanlarda, kullanıcıların audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot gibi benzer açık kaynak projeleri kullanmaları nedeniyle varlıklarının çalındığı bildirildi. Güvenlik ekibi bu durumu derinlemesine analiz etti.
Analiz Süreci
Statik Analiz
Analizler, şüpheli kodun /src/common/config.rs yapılandırma dosyasında bulunduğunu, özellikle create_coingecko_proxy() yönteminde yoğunlaştığını ortaya koydu. Bu yöntem öncelikle import_wallet() çağrısını yaparak Özel Anahtar'ı alıyor, ardından Özel Anahtar'ın uzunluğunu kontrol ediyor:
Ardından, kötü niyetli kod, saldırganın sunucu adresini çözerek, JSON istek gövdesini oluşturup özel anahtarı bu adrese gönderir. Aynı zamanda, bu yöntem, kötü niyetli davranışını gizlemek için fiyat alma gibi normal işlevler de içerir.
create_coingecko_proxy() yöntemi uygulama başlatıldığında çağrılır, main.rs içindeki main() yönteminin yapılandırma dosyası başlatma aşamasındadır.
Saldırganın sunucu IP'si Amerika'da bulunmaktadır. Bu proje son zamanlarda GitHub'da güncellendi, ana değişiklik config.rs dosyasındaki sunucu adresi kodlamasıdır.
Dinamik Analiz
Hırsızlık sürecini gözlemlemek için, test anahtar çiftleri oluşturmak üzere bir script yazdık ve POST isteklerini alacak bir sunucu kurduk. Test sunucu adresini kötü niyetli adresle değiştirdik ve .env dosyasındaki Özel Anahtar'ı güncelledik.
Kötü niyetli kod başlatıldıktan sonra, test sunucusu özel anahtar içeren JSON verisini başarıyla aldı.
İstila Göstergeleri
IP: 103.35.189.28
Alan Adı: storebackend-qpq3.onrender.com
Kötü Niyetli Depo:
Özet
Saldırganlar, meşru açık kaynak projelerine benzer şekilde giydirerek kullanıcıları kötü niyetli kodları çalıştırmaya yönlendiriyor. Proje, yerel .env dosyasındaki hassas bilgileri okur ve çalınan özel anahtarları saldırganın sunucusuna iletir.
Geliştiricilerin bilinmeyen kaynaklardan gelen GitHub projelerine karşı dikkatli olmaları önerilir, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda. Çalıştırmak veya hata ayıklamak gerekiyorsa, bağımsız ve hassas veriler içermeyen bir ortamda yapılmalı, kaynağı bilinmeyen programlar ve komutlar çalıştırılmamalıdır.