يظهر في نظام Solana البيئي روبوتات خبيثة: ملف التكوين يحتوي على فخ لسرقة المفتاح الخاص
في أوائل يوليو 2025، طلب أحد المستخدمين المساعدة من فريق الأمان، مشيرًا إلى أن أصوله المشفرة تم سرقتها. وبعد التحقيق، تم اكتشاف أن الحادث نشأ من استخدام هذا المستخدم لمشروع مفتوح المصدر مستضاف على منصة تعليمات برمجية معينة، مما أدى إلى حدوث سلوك سري لسرقة العملات.
مؤخراً، تعرض مستخدمون آخرون لسرقة الأصول المشفرة بسبب استخدام مشاريع مفتوحة المصدر مشابهة مثل audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. وبناءً على ذلك، أجرت فرق الأمان تحليلاً معمقًا.
عملية التحليل
تحليل ثابت
من خلال التحليل الثابت، تم العثور على كود مشبوه في ملف التكوين /src/common/config.rs، ويركز بشكل أساسي في داخل طريقة create_coingecko_proxy(). تقوم هذه الطريقة أولاً باستدعاء import_wallet() للحصول على معلومات المفتاح الخاص.
في طريقة import_env_var()، تُستخدم بشكل أساسي للحصول على معلومات تكوين متغيرات البيئة من ملف .env. إذا كان متغير البيئة غير موجود، سيدخل البرنامج في حلقة لانهائية، مما يؤدي إلى استهلاك الموارد بشكل مستمر.
بعد ذلك، يقوم الرمز الخبيث بفك تشفير عنوان URL المشفر، للحصول على عنوان خادم المهاجم. ثم يتم بناء جسم طلب JSON، وإرسال معلومات المفتاح الخاص إلى هذا الخادم، مع تجاهل نتائج الاستجابة.
تُستدعى طريقة create_coingecko_proxy() عند بدء التطبيق، وتقع في مرحلة تهيئة ملف التكوين. اسم هذه الطريقة مُزيف، وله قدر من الخداع.
بعد التحليل، يقع عنوان IP لخادم المهاجم في الولايات المتحدة. تم تحديث المشروع مؤخرًا، حيث تركزت التغييرات الرئيسية في ملف التكوين، وتم استبدال ترميز عنوان خادم المهاجم.
التحليل الديناميكي
لرصد عملية السرقة بشكل واضح، قامت فريق الأمان بكتابة سكربت لتوليد أزواج المفاتيح العامة والخاصة للاختبار، وأنشأت خادم HTTP لاستقبال طلبات POST.
استبدل ترميز عنوان خادم الاختبار بترميز العنوان الخبيث الأصلي، وأدخل المفتاح الخاص للاختبار في ملف .env. بعد تشغيل الشيفرة الخبيثة، يمكن رؤية أن خادم الاختبار قد استقبل بنجاح بيانات JSON التي تحتوي على معلومات المفتاح الخاص.
بالإضافة إلى ذلك، تم اكتشاف عدة مستودعات تستخدم أساليب تنفيذ مشابهة.
ملخص
يخدع المهاجمون المستخدمين من خلال التظاهر بأنهم مشروع مفتوح المصدر شرعي، مما يدفع المستخدمين إلى تنفيذ التعليمات البرمجية الضارة. يقوم هذا المشروع بقراءة المعلومات الحساسة المحلية، وينقل المفاتيح الخاصة المسروقة إلى خادم المهاجم. عادة ما تتضمن هذه الأنواع من الهجمات تقنيات الهندسة الاجتماعية، وأي خطأ بسيط من قبل المستخدم قد يؤدي إلى التعرض للهجوم.
ينبغي على المطورين والمستخدمين أن يكونوا حذرين من المشاريع ذات المصدر غير الواضح، خاصة عند التعامل مع محفظات أو المفتاح الخاص. إذا كان هناك حاجة للتصحيح، يجب القيام بذلك في بيئة مستقلة خالية من البيانات الحساسة، وتجنب تنفيذ البرامج والأوامر ذات المصدر غير الواضح.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 7
أعجبني
7
5
إعادة النشر
مشاركة
تعليق
0/400
RamenDeFiSurvivor
· منذ 6 س
مفتوح المصدر مشروع لا يزال يجرؤ على الاقتراب؟ إنه اختيار خاص
شاهد النسخة الأصليةرد0
ChainPoet
· منذ 11 س
لا تزال تستخدم مشروع مفتوح المصدر؟ استيقظ
شاهد النسخة الأصليةرد0
rugdoc.eth
· منذ 12 س
قبل كل مرة تقوم فيها بتعديل الشيفرة، انظر إليها عشر مرات.
شاهد النسخة الأصليةرد0
MonkeySeeMonkeyDo
· منذ 12 س
حقاً يوجد حرفيون، رائع
شاهد النسخة الأصليةرد0
FUD_Whisperer
· منذ 12 س
لا تخاف، أنا أستخدم أدوات مفتوح المصدر من نوع altcoin.
ظهور نوع جديد من بوتات سرقة المفاتيح الخاصة في نظام Solana البيئي، احذر من أن تكون المشاريع المفتوحة المصدر تحتوي على أسرار.
يظهر في نظام Solana البيئي روبوتات خبيثة: ملف التكوين يحتوي على فخ لسرقة المفتاح الخاص
في أوائل يوليو 2025، طلب أحد المستخدمين المساعدة من فريق الأمان، مشيرًا إلى أن أصوله المشفرة تم سرقتها. وبعد التحقيق، تم اكتشاف أن الحادث نشأ من استخدام هذا المستخدم لمشروع مفتوح المصدر مستضاف على منصة تعليمات برمجية معينة، مما أدى إلى حدوث سلوك سري لسرقة العملات.
مؤخراً، تعرض مستخدمون آخرون لسرقة الأصول المشفرة بسبب استخدام مشاريع مفتوحة المصدر مشابهة مثل audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. وبناءً على ذلك، أجرت فرق الأمان تحليلاً معمقًا.
عملية التحليل
تحليل ثابت
من خلال التحليل الثابت، تم العثور على كود مشبوه في ملف التكوين /src/common/config.rs، ويركز بشكل أساسي في داخل طريقة create_coingecko_proxy(). تقوم هذه الطريقة أولاً باستدعاء import_wallet() للحصول على معلومات المفتاح الخاص.
في طريقة import_env_var()، تُستخدم بشكل أساسي للحصول على معلومات تكوين متغيرات البيئة من ملف .env. إذا كان متغير البيئة غير موجود، سيدخل البرنامج في حلقة لانهائية، مما يؤدي إلى استهلاك الموارد بشكل مستمر.
المفتاح الخاص等敏感信息存存储在.env文件中。获取到المفتاح الخاص后,恶意代码会对المفتاح الخاص长度进行判断:若小于85,会进入无限循环;若大于85,则将其转换为Keypair对象。
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفية
بعد ذلك، يقوم الرمز الخبيث بفك تشفير عنوان URL المشفر، للحصول على عنوان خادم المهاجم. ثم يتم بناء جسم طلب JSON، وإرسال معلومات المفتاح الخاص إلى هذا الخادم، مع تجاهل نتائج الاستجابة.
تُستدعى طريقة create_coingecko_proxy() عند بدء التطبيق، وتقع في مرحلة تهيئة ملف التكوين. اسم هذه الطريقة مُزيف، وله قدر من الخداع.
بعد التحليل، يقع عنوان IP لخادم المهاجم في الولايات المتحدة. تم تحديث المشروع مؤخرًا، حيث تركزت التغييرات الرئيسية في ملف التكوين، وتم استبدال ترميز عنوان خادم المهاجم.
التحليل الديناميكي
لرصد عملية السرقة بشكل واضح، قامت فريق الأمان بكتابة سكربت لتوليد أزواج المفاتيح العامة والخاصة للاختبار، وأنشأت خادم HTTP لاستقبال طلبات POST.
استبدل ترميز عنوان خادم الاختبار بترميز العنوان الخبيث الأصلي، وأدخل المفتاح الخاص للاختبار في ملف .env. بعد تشغيل الشيفرة الخبيثة، يمكن رؤية أن خادم الاختبار قد استقبل بنجاح بيانات JSON التي تحتوي على معلومات المفتاح الخاص.
مؤشرات الاختراق
بالإضافة إلى ذلك، تم اكتشاف عدة مستودعات تستخدم أساليب تنفيذ مشابهة.
ملخص
يخدع المهاجمون المستخدمين من خلال التظاهر بأنهم مشروع مفتوح المصدر شرعي، مما يدفع المستخدمين إلى تنفيذ التعليمات البرمجية الضارة. يقوم هذا المشروع بقراءة المعلومات الحساسة المحلية، وينقل المفاتيح الخاصة المسروقة إلى خادم المهاجم. عادة ما تتضمن هذه الأنواع من الهجمات تقنيات الهندسة الاجتماعية، وأي خطأ بسيط من قبل المستخدم قد يؤدي إلى التعرض للهجوم.
ينبغي على المطورين والمستخدمين أن يكونوا حذرين من المشاريع ذات المصدر غير الواضح، خاصة عند التعامل مع محفظات أو المفتاح الخاص. إذا كان هناك حاجة للتصحيح، يجب القيام بذلك في بيئة مستقلة خالية من البيانات الحساسة، وتجنب تنفيذ البرامج والأوامر ذات المصدر غير الواضح.