عودة بوتات خبيثة في نظام Solana البيئي: مخاطر تسرب المفتاح الخاص المخفي في ملف التكوين
مؤخراً، قام بعض المستخدمين باستخدام مشروع مفتوح المصدر يسمى audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot، مما أدى إلى سرقة الأصول المشفرة. قام فريق الأمان بإجراء تحليل متعمق لهذه الطريقة الهجومية.
عملية التحليل
التحليل الثابت
تم العثور على شيفرة مشبوهة في ملف التكوين /src/common/config.rs، تتركز بشكل رئيسي داخل طريقة create_coingecko_proxy(). تقوم هذه الطريقة أولاً باستدعاء import_wallet() للحصول على المفتاح الخاص، ثم تتحقق من طول المفتاح الخاص. إذا كان طول المفتاح الخاص أكبر من 85، فسيتم تحويله إلى كائن Keypair وتغليفه باستخدام Arc.
بعد ذلك، قامت الشفرة الخبيثة بفك تشفير ثابت مشفر HELIUS_PROXY، والحصول على عنوان خادم المهاجم.
تُستدعى طريقة create_coingecko_proxy() عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف إعدادات طريقة main() في main.rs. تحتوي هذه الطريقة أيضًا على وظائف طبيعية مثل الحصول على الأسعار، وذلك للتستر على سلوكها الخبيث.
تم تحديث المشروع مؤخرًا على GitHub في 17 يوليو 2025، حيث تركزت التغييرات الرئيسية في ملف src/common/config.rs، وتم استبدال الترميز الأصلي لعنوان HELIUS_PROXY بترميز جديد.
لرصد عملية السرقة بشكل مباشر، قام الباحثون بكتابة سكربت بايثون لتوليد أزواج المفاتيح العامة والخاصة الخاصة بـ Solana للاستخدام في الاختبار، وإنشاء خادم HTTP لاستقبال طلبات POST. تم استبدال عنوان الخادم التجريبي برمز عنوان الخادم الخبيث الذي حدده المهاجم، وتم إدخال المفتاح الخاص التجريبي في ملف .env.
بعد تشغيل الكود الضار، استقبل الخادم التجريبي بنجاح بيانات JSON تحتوي على معلومات المفتاح الخاص.
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة نقل المفتاح الخاص المخفية])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp###
المهاجمون يتنكرون كمشاريع مفتوحة المصدر شرعية، ويقومون بإغراء المستخدمين لتنفيذ كود خبيث. يقوم هذا الكود بقراءة المعلومات الحساسة من ملف .env المحلي، وينقل المفاتيح الخاصة المسروقة إلى الخادم الذي يتحكم فيه المهاجم.
ينبغي على المطورين والمستخدمين توخي الحذر من مشاريع GitHub غير المعروفة، وخاصة عندما يتعلق الأمر بمحافظ أو المفتاح الخاص. إذا كان هناك حاجة للتصحيح، ينبغي القيام بذلك في بيئة منفصلة وخالية من البيانات الحساسة، وتجنب تنفيذ البرامج والأوامر غير المعروفة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 9
أعجبني
9
3
إعادة النشر
مشاركة
تعليق
0/400
SchrodingerProfit
· منذ 23 س
لقد تعرضت للخيانة مرة أخرى من قبل sol
شاهد النسخة الأصليةرد0
PaperHandSister
· منذ 23 س
سرقة المفتاح الخاص يمكن أن تفكر في هذه الحيلة... الخبراء بين الناس!
تتعرض بيئة Solana لمخاطر سرقة المفتاح الخاص بشكل خفي حيث تقوم بوتات خبيثة بتزييف ملفات التكوين لسرقة الأصول.
عودة بوتات خبيثة في نظام Solana البيئي: مخاطر تسرب المفتاح الخاص المخفي في ملف التكوين
مؤخراً، قام بعض المستخدمين باستخدام مشروع مفتوح المصدر يسمى audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot، مما أدى إلى سرقة الأصول المشفرة. قام فريق الأمان بإجراء تحليل متعمق لهذه الطريقة الهجومية.
عملية التحليل
التحليل الثابت
تم العثور على شيفرة مشبوهة في ملف التكوين /src/common/config.rs، تتركز بشكل رئيسي داخل طريقة create_coingecko_proxy(). تقوم هذه الطريقة أولاً باستدعاء import_wallet() للحصول على المفتاح الخاص، ثم تتحقق من طول المفتاح الخاص. إذا كان طول المفتاح الخاص أكبر من 85، فسيتم تحويله إلى كائن Keypair وتغليفه باستخدام Arc.
بعد ذلك، قامت الشفرة الخبيثة بفك تشفير ثابت مشفر HELIUS_PROXY، والحصول على عنوان خادم المهاجم.
تُستدعى طريقة create_coingecko_proxy() عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف إعدادات طريقة main() في main.rs. تحتوي هذه الطريقة أيضًا على وظائف طبيعية مثل الحصول على الأسعار، وذلك للتستر على سلوكها الخبيث.
تم تحديث المشروع مؤخرًا على GitHub في 17 يوليو 2025، حيث تركزت التغييرات الرئيسية في ملف src/common/config.rs، وتم استبدال الترميز الأصلي لعنوان HELIUS_PROXY بترميز جديد.
! الاستنساخ البيئي ل Solana للروبوتات الخبيثة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص
! الاستنساخ البيئي ل Solana للروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفي
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفية
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفاتيح الخاصة المخفية
( التحليل الديناميكي
لرصد عملية السرقة بشكل مباشر، قام الباحثون بكتابة سكربت بايثون لتوليد أزواج المفاتيح العامة والخاصة الخاصة بـ Solana للاستخدام في الاختبار، وإنشاء خادم HTTP لاستقبال طلبات POST. تم استبدال عنوان الخادم التجريبي برمز عنوان الخادم الخبيث الذي حدده المهاجم، وتم إدخال المفتاح الخاص التجريبي في ملف .env.
بعد تشغيل الكود الضار، استقبل الخادم التجريبي بنجاح بيانات JSON تحتوي على معلومات المفتاح الخاص.
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة نقل المفتاح الخاص المخفية])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp###
! الاستنساخ البيئي ل Solana للروبوتات الخبيثة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفاتيح الخاصة المخفية
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفاتيح الخاصة المخفية
مؤشرات الاختراق ( IoCs )
بالإضافة إلى ذلك، تم اكتشاف عدة مستودعات على GitHub تستخدم أساليب مشابهة.
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص
ملخص
المهاجمون يتنكرون كمشاريع مفتوحة المصدر شرعية، ويقومون بإغراء المستخدمين لتنفيذ كود خبيث. يقوم هذا الكود بقراءة المعلومات الحساسة من ملف .env المحلي، وينقل المفاتيح الخاصة المسروقة إلى الخادم الذي يتحكم فيه المهاجم.
ينبغي على المطورين والمستخدمين توخي الحذر من مشاريع GitHub غير المعروفة، وخاصة عندما يتعلق الأمر بمحافظ أو المفتاح الخاص. إذا كان هناك حاجة للتصحيح، ينبغي القيام بذلك في بيئة منفصلة وخالية من البيانات الحساسة، وتجنب تنفيذ البرامج والأوامر غير المعروفة.