У екосистемі Solana знову з'явилися злі боти: конфігураційний файл приховує пастку для витоку Закритого ключа
На початку липня 2025 року користувач звернувся до команди безпеки з проханням про допомогу, стверджуючи, що його криптоактиви були вкрадені. Розслідування показало, що інцидент виник через використання користувачем відкритого проєкту на GitHub під назвою solana-pumpfun-bot, який активував приховані дії з крадіжки монет.
Нещодавно ще один користувач став жертвою крадіжки активів через використання подібних відкритих проектів audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Команда безпеки провела глибокий аналіз цього питання.
Аналіз процесу
Статичний аналіз
Аналіз показав, що підозріла частина коду знаходиться у файлі конфігурації /src/common/config.rs, головним чином зосереджена в методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ, а потім перевіряє довжину Закритий ключ:
Якщо довжина менша за 85, виведіть повідомлення про помилку та потрапте в безкінечний цикл
Якщо довжина більше 85, перетворіть закритий ключ на об'єкт Keypair і загорніть
Потім шкідливий код декодує адресу сервера зловмисника, формуючи JSON запит, щоб надіслати Закритий ключ на цю адресу. Одночасно цей метод також містить нормальні функції, такі як отримання ціни, щоб замаскувати свою шкідливу діяльність.
метод create_coingecko_proxy() викликається під час запуску програми, знаходиться на етапі ініціалізації конфігураційного файлу методу main() у main.rs.
IP-адреса сервера атакуючого розташована в США. Цей проект нещодавно був оновлений на GitHub, основні зміни стосувалися кодування адреси сервера в config.rs.
Динамічний аналіз
Для наочного спостереження за процесом крадіжки ми написали сценарій для генерації тестових пар ключів і побудували сервер для прийому POST запитів. Замінили адресу тестового сервера на оригінальну шкідливу адресу та оновили закритий ключ у файлі .env.
Після запуску шкідливого коду, тестовий сервер успішно отримав JSON-дані, що містять закритий ключ.
Показники вторгнення
Інтернет: 103.35.189.28
Доменне ім'я: storebackend-qpq3.onrender.com
Зловмисний репозиторій:
Підсумок
Зловмисники маскуються під легітимні проєкти з відкритим кодом, спонукаючи користувачів виконувати шкідливий код. Цей проєкт читає чутливу інформацію з локального файлу .env та передає вкрадений Закритий ключ на сервер зловмисника.
Рекомендується, щоб розробники і користувачі були уважні до невідомих проектів GitHub, особливо коли йдеться про операції з гаманцями або закритими ключами. Якщо потрібно запустити або налагодити, це слід робити в ізольованому середовищі без чутливих даних, уникаючи виконання програм та команд з неперевірених джерел.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
6
Поділіться
Прокоментувати
0/400
MysteryBoxBuster
· 5год тому
Цок-цок-цок, знову пастка
Переглянути оригіналвідповісти на0
gas_fee_therapist
· 6год тому
Solana дійсно важко контролювати, починаючи з деталей.
Переглянути оригіналвідповісти на0
GateUser-75ee51e7
· 6год тому
Вибух. Дійсно втомився.
Переглянути оригіналвідповісти на0
AllTalkLongTrader
· 6год тому
невдахи багато лих... не дайте себе обдурити
Переглянути оригіналвідповісти на0
MeltdownSurvivalist
· 6год тому
Не купуйте неперевірений відкритий вихідний код.
Переглянути оригіналвідповісти на0
BridgeNomad
· 6год тому
не твої ключі - не твої криптовалюти... ще один експлойт Solana, смх
Solana екосистема знову стала жертвою злочинних ботів, що викрадають закриті ключі. Будьте обережні у використанні відкритого вихідного коду.
У екосистемі Solana знову з'явилися злі боти: конфігураційний файл приховує пастку для витоку Закритого ключа
На початку липня 2025 року користувач звернувся до команди безпеки з проханням про допомогу, стверджуючи, що його криптоактиви були вкрадені. Розслідування показало, що інцидент виник через використання користувачем відкритого проєкту на GitHub під назвою solana-pumpfun-bot, який активував приховані дії з крадіжки монет.
Нещодавно ще один користувач став жертвою крадіжки активів через використання подібних відкритих проектів audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Команда безпеки провела глибокий аналіз цього питання.
Аналіз процесу
Статичний аналіз
Аналіз показав, що підозріла частина коду знаходиться у файлі конфігурації /src/common/config.rs, головним чином зосереджена в методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ, а потім перевіряє довжину Закритий ключ:
Потім шкідливий код декодує адресу сервера зловмисника, формуючи JSON запит, щоб надіслати Закритий ключ на цю адресу. Одночасно цей метод також містить нормальні функції, такі як отримання ціни, щоб замаскувати свою шкідливу діяльність.
метод create_coingecko_proxy() викликається під час запуску програми, знаходиться на етапі ініціалізації конфігураційного файлу методу main() у main.rs.
IP-адреса сервера атакуючого розташована в США. Цей проект нещодавно був оновлений на GitHub, основні зміни стосувалися кодування адреси сервера в config.rs.
Динамічний аналіз
Для наочного спостереження за процесом крадіжки ми написали сценарій для генерації тестових пар ключів і побудували сервер для прийому POST запитів. Замінили адресу тестового сервера на оригінальну шкідливу адресу та оновили закритий ключ у файлі .env.
Після запуску шкідливого коду, тестовий сервер успішно отримав JSON-дані, що містять закритий ключ.
Показники вторгнення
Інтернет: 103.35.189.28
Доменне ім'я: storebackend-qpq3.onrender.com
Зловмисний репозиторій:
Підсумок
Зловмисники маскуються під легітимні проєкти з відкритим кодом, спонукаючи користувачів виконувати шкідливий код. Цей проєкт читає чутливу інформацію з локального файлу .env та передає вкрадений Закритий ключ на сервер зловмисника.
Рекомендується, щоб розробники і користувачі були уважні до невідомих проектів GitHub, особливо коли йдеться про операції з гаманцями або закритими ключами. Якщо потрібно запустити або налагодити, це слід робити в ізольованому середовищі без чутливих даних, уникаючи виконання програм та команд з неперевірених джерел.