Hệ sinh thái Solana tái xuất Bots độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ Khóa riêng
Vào đầu tháng 7 năm 2025, một người dùng đã yêu cầu sự giúp đỡ từ đội ngũ an ninh, cho biết tài sản tiền điện tử của họ đã bị đánh cắp. Cuộc điều tra cho thấy, sự kiện này bắt nguồn từ việc người dùng đã sử dụng một dự án mã nguồn mở có tên solana-pumpfun-bot trên GitHub, đã kích hoạt hành vi đánh cắp ẩn.
Gần đây, lại có người dùng bị mất tài sản do sử dụng các dự án mã nguồn mở tương tự như audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Đội ngũ an ninh đã tiến hành phân tích sâu về vấn đề này.
Phân tích quy trình
Phân tích tĩnh
Phân tích cho thấy, mã khả nghi nằm trong tệp cấu hình /src/common/config.rs, chủ yếu tập trung trong phương thức create_coingecko_proxy(). Phương thức này trước tiên gọi import_wallet() để lấy khóa riêng, sau đó kiểm tra độ dài của khóa riêng:
Nếu độ dài nhỏ hơn 85, in ra thông báo lỗi và rơi vào vòng lặp vô hạn
Nếu chiều dài lớn hơn 85, chuyển đổi khóa riêng thành đối tượng Keypair và đóng gói
Sau đó, mã độc giải mã địa chỉ máy chủ của kẻ tấn công, tạo ra thân yêu cầu JSON gửi khóa riêng đến địa chỉ đó. Đồng thời, phương pháp này còn bao gồm các chức năng bình thường như lấy giá cả để che giấu hành vi độc hại của nó.
phương pháp create_coingecko_proxy() được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình của phương thức main() trong main.rs.
IP máy chủ của kẻ tấn công nằm ở Hoa Kỳ. Dự án gần đây đã được cập nhật trên GitHub, chủ yếu thay đổi mã hóa địa chỉ máy chủ trong config.rs.
Phân tích động
Để quan sát trực quan quá trình trộm cắp, chúng tôi đã viết một kịch bản để tạo cặp khóa thử nghiệm, và thiết lập một máy chủ nhận yêu cầu POST. Thay thế địa chỉ máy chủ thử nghiệm đã mã hóa bằng địa chỉ độc hại ban đầu, và cập nhật khóa riêng trong tệp .env.
Sau khi khởi động mã độc, máy chủ thử nghiệm đã nhận thành công dữ liệu JSON chứa khóa riêng.
Chỉ số xâm nhập
IP: 103.35.189.28
Tên miền: storebackend-qpq3.onrender.com
Kho chứa độc hại:
Tóm tắt
Kẻ tấn công giả mạo một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng thực thi mã độc. Dự án này đọc thông tin nhạy cảm từ tệp .env cục bộ và truyền khóa riêng bị đánh cắp đến máy chủ của kẻ tấn công.
Khuyến nghị các nhà phát triển và người dùng nên cảnh giác với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc khóa riêng. Nếu cần chạy hoặc gỡ lỗi, nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm, tránh thực hiện các chương trình và lệnh không rõ nguồn gốc.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
6
Chia sẻ
Bình luận
0/400
MysteryBoxBuster
· 5giờ trước
Zế zế zế lại gặp bẫy
Xem bản gốcTrả lời0
gas_fee_therapist
· 6giờ trước
solan thực sự khó kiểm soát, bắt đầu từ những chi tiết.
Xem bản gốcTrả lời0
GateUser-75ee51e7
· 6giờ trước
Nổ tung, thật sự mệt mỏi quá.
Xem bản gốcTrả lời0
AllTalkLongTrader
· 6giờ trước
đồ ngốc nhiều灾多难...đừng để chơi đùa với mọi người
Xem bản gốcTrả lời0
MeltdownSurvivalist
· 6giờ trước
Không mua mã nguồn mở của các thương hiệu không rõ.
Xem bản gốcTrả lời0
BridgeNomad
· 6giờ trước
không có chìa khóa của bạn không có tiền điện tử của bạn... một lỗ hổng khác của solana thật đáng tiếc
Hệ sinh thái Solana lại xuất hiện robot độc hại trộm khóa riêng, hãy cẩn thận khi sử dụng mã nguồn mở.
Hệ sinh thái Solana tái xuất Bots độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ Khóa riêng
Vào đầu tháng 7 năm 2025, một người dùng đã yêu cầu sự giúp đỡ từ đội ngũ an ninh, cho biết tài sản tiền điện tử của họ đã bị đánh cắp. Cuộc điều tra cho thấy, sự kiện này bắt nguồn từ việc người dùng đã sử dụng một dự án mã nguồn mở có tên solana-pumpfun-bot trên GitHub, đã kích hoạt hành vi đánh cắp ẩn.
Gần đây, lại có người dùng bị mất tài sản do sử dụng các dự án mã nguồn mở tương tự như audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Đội ngũ an ninh đã tiến hành phân tích sâu về vấn đề này.
Phân tích quy trình
Phân tích tĩnh
Phân tích cho thấy, mã khả nghi nằm trong tệp cấu hình /src/common/config.rs, chủ yếu tập trung trong phương thức create_coingecko_proxy(). Phương thức này trước tiên gọi import_wallet() để lấy khóa riêng, sau đó kiểm tra độ dài của khóa riêng:
Sau đó, mã độc giải mã địa chỉ máy chủ của kẻ tấn công, tạo ra thân yêu cầu JSON gửi khóa riêng đến địa chỉ đó. Đồng thời, phương pháp này còn bao gồm các chức năng bình thường như lấy giá cả để che giấu hành vi độc hại của nó.
phương pháp create_coingecko_proxy() được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình của phương thức main() trong main.rs.
IP máy chủ của kẻ tấn công nằm ở Hoa Kỳ. Dự án gần đây đã được cập nhật trên GitHub, chủ yếu thay đổi mã hóa địa chỉ máy chủ trong config.rs.
Phân tích động
Để quan sát trực quan quá trình trộm cắp, chúng tôi đã viết một kịch bản để tạo cặp khóa thử nghiệm, và thiết lập một máy chủ nhận yêu cầu POST. Thay thế địa chỉ máy chủ thử nghiệm đã mã hóa bằng địa chỉ độc hại ban đầu, và cập nhật khóa riêng trong tệp .env.
Sau khi khởi động mã độc, máy chủ thử nghiệm đã nhận thành công dữ liệu JSON chứa khóa riêng.
Chỉ số xâm nhập
IP: 103.35.189.28
Tên miền: storebackend-qpq3.onrender.com
Kho chứa độc hại:
Tóm tắt
Kẻ tấn công giả mạo một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng thực thi mã độc. Dự án này đọc thông tin nhạy cảm từ tệp .env cục bộ và truyền khóa riêng bị đánh cắp đến máy chủ của kẻ tấn công.
Khuyến nghị các nhà phát triển và người dùng nên cảnh giác với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc khóa riêng. Nếu cần chạy hoặc gỡ lỗi, nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm, tránh thực hiện các chương trình và lệnh không rõ nguồn gốc.