Ecosistema de Solana vuelve a sufrir de Bots maliciosos: el archivo de configuración oculta el riesgo de filtración de la Llave privada
Recientemente, algunos usuarios han perdido activos criptográficos debido al uso de un proyecto de código abierto llamado audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. El equipo de seguridad ha realizado un análisis profundo de esta técnica de ataque.
Proceso de análisis
Análisis estático
Se encontró código sospechoso en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada, y luego verifica la longitud de la Llave privada. Si la longitud de la Llave privada es mayor a 85, se convierte en un objeto Keypair y se encapsula con Arc.
Luego, el código malicioso decodifica una constante codificada HELIUS_PROXY, obteniendo la dirección del servidor del atacante.
create_coingecko_proxy() método se llama al iniciar la aplicación, ubicado en la fase de inicialización del archivo de configuración del método main() en main.rs. Este método también incluye funciones normales como obtener precios, para encubrir su comportamiento malicioso.
El proyecto fue actualizado recientemente en GitHub el 17 de julio de 2025, (, los principales cambios se centraron en el archivo src/common/config.rs, donde la codificación de la dirección original de HELIUS_PROXY fue reemplazada por una nueva codificación.
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta la trampa de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana ecosistema reaparece con Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil oculta la trampa de transmisión de Llave privada])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![El ecosistema de Solana presenta nuevamente Bots maliciosos: el perfil escondía trampas para la fuga de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas de envío de Llave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![La ecología de Solana vuelve a presentar bots maliciosos: el perfil oculta trampas de fuga de llave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![El ecosistema de Solana vuelve a mostrar Bots maliciosos: el perfil oculta trampas para la filtración de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
) Análisis dinámico
Para observar visualmente el proceso de robo, los investigadores escribieron un script de Python para generar pares de claves públicas y privadas de Solana para pruebas, y configuraron un servidor HTTP que recibe solicitudes POST. Se codificó la dirección del servidor de pruebas para reemplazar la dirección del servidor malicioso configurada por el atacante, y se rellenó la llave privada de prueba en el archivo .env.
Después de iniciar el código malicioso, el servidor de pruebas recibió con éxito datos JSON que contienen información de la Llave privada.
![Solana ecosistema vuelve a mostrar bots maliciosos: el perfil oculta la trampa de filtración de la llave privada]###https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Reaparición de bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de la llave privada])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ecosistema vuelve a ver Bots maliciosos: el perfil ocultaba trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el archivo de configuración oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
Indicadores de compromiso ) IoCs (
IP: 103.35.189.28
Dominio: storebackend-qpq3.onrender.com
Almacén malicioso:
Además, se han encontrado varios repositorios de GitHub que utilizan métodos similares.
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Solana ecosistema vuelve a sufrir ataques de Bots: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![La ecología de Solana presenta nuevamente Bots maliciosos: el perfil de configuración oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Resumen
El atacante se disfraza de un proyecto de código abierto legítimo para inducir a los usuarios a ejecutar código malicioso. Este código leerá la información sensible en el archivo .env local y transmitirá la llave privada robada al servidor controlado por el atacante.
Se recomienda a los desarrolladores que mantengan precaución con los proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones con billeteras o Llave privada. Si es necesario realizar depuración, debe hacerse en un entorno independiente y sin datos sensibles, evitando ejecutar programas y comandos de origen desconocido.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Riesgo de robo de llaves privadas oculto en el ecosistema de Solana, bots maliciosos disfrazan perfiles para robar activos.
Ecosistema de Solana vuelve a sufrir de Bots maliciosos: el archivo de configuración oculta el riesgo de filtración de la Llave privada
Recientemente, algunos usuarios han perdido activos criptográficos debido al uso de un proyecto de código abierto llamado audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. El equipo de seguridad ha realizado un análisis profundo de esta técnica de ataque.
Proceso de análisis
Análisis estático
Se encontró código sospechoso en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada, y luego verifica la longitud de la Llave privada. Si la longitud de la Llave privada es mayor a 85, se convierte en un objeto Keypair y se encapsula con Arc.
Luego, el código malicioso decodifica una constante codificada HELIUS_PROXY, obteniendo la dirección del servidor del atacante.
create_coingecko_proxy() método se llama al iniciar la aplicación, ubicado en la fase de inicialización del archivo de configuración del método main() en main.rs. Este método también incluye funciones normales como obtener precios, para encubrir su comportamiento malicioso.
El proyecto fue actualizado recientemente en GitHub el 17 de julio de 2025, (, los principales cambios se centraron en el archivo src/common/config.rs, donde la codificación de la dirección original de HELIUS_PROXY fue reemplazada por una nueva codificación.
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta la trampa de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana ecosistema reaparece con Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil oculta la trampa de transmisión de Llave privada])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![El ecosistema de Solana presenta nuevamente Bots maliciosos: el perfil escondía trampas para la fuga de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas de envío de Llave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![La ecología de Solana vuelve a presentar bots maliciosos: el perfil oculta trampas de fuga de llave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![El ecosistema de Solana vuelve a mostrar Bots maliciosos: el perfil oculta trampas para la filtración de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
) Análisis dinámico
Para observar visualmente el proceso de robo, los investigadores escribieron un script de Python para generar pares de claves públicas y privadas de Solana para pruebas, y configuraron un servidor HTTP que recibe solicitudes POST. Se codificó la dirección del servidor de pruebas para reemplazar la dirección del servidor malicioso configurada por el atacante, y se rellenó la llave privada de prueba en el archivo .env.
Después de iniciar el código malicioso, el servidor de pruebas recibió con éxito datos JSON que contienen información de la Llave privada.
![Solana ecosistema vuelve a mostrar bots maliciosos: el perfil oculta la trampa de filtración de la llave privada]###https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Reaparición de bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de la llave privada])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ecosistema vuelve a ver Bots maliciosos: el perfil ocultaba trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el archivo de configuración oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
Indicadores de compromiso ) IoCs (
Además, se han encontrado varios repositorios de GitHub que utilizan métodos similares.
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Solana ecosistema vuelve a sufrir ataques de Bots: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![La ecología de Solana presenta nuevamente Bots maliciosos: el perfil de configuración oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Resumen
El atacante se disfraza de un proyecto de código abierto legítimo para inducir a los usuarios a ejecutar código malicioso. Este código leerá la información sensible en el archivo .env local y transmitirá la llave privada robada al servidor controlado por el atacante.
Se recomienda a los desarrolladores que mantengan precaución con los proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones con billeteras o Llave privada. Si es necesario realizar depuración, debe hacerse en un entorno independiente y sin datos sensibles, evitando ejecutar programas y comandos de origen desconocido.