L'écosystème Solana fait face à de nouveaux Bots malveillants : le fichier de configuration cache un piège pour le vol de Clé privée
Début juillet 2025, un utilisateur a sollicité l'aide de l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés. Après enquête, il a été découvert que l'incident provenait de l'utilisation par cet utilisateur d'un projet open source hébergé sur une certaine plateforme de code, ce qui a déclenché un comportement de vol de cryptomonnaies dissimulé.
Récemment, des utilisateurs ont de nouveau perdu leurs actifs cryptographiques en utilisant des projets open source similaires à audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. À cet égard, l'équipe de sécurité a mené une analyse approfondie.
Processus d'analyse
Analyse statique
Une analyse statique a révélé que le code suspect se trouve dans le fichier de configuration /src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet() pour obtenir les informations de clé privée.
Dans la méthode import_env_var(), elle est principalement utilisée pour obtenir les informations de configuration des variables d'environnement dans le fichier .env. Si la variable d'environnement n'existe pas, cela entraînera une boucle infinie, ce qui entraînera une consommation continue des ressources.
Les informations sensibles telles que la Clé privée sont stockées dans le fichier .env. Une fois la clé privée obtenue, le code malveillant vérifiera la longueur de la clé privée : si elle est inférieure à 85, il entrera dans une boucle infinie ; si elle est supérieure à 85, elle sera convertie en objet Keypair.
Ensuite, le code malveillant décode l'URL codée en dur pour obtenir l'adresse du serveur de l'attaquant. Il construit ensuite un corps de requête JSON, en envoyant les informations de la clé privée à ce serveur, tout en ignorant le résultat de la réponse.
La méthode create_coingecko_proxy() est appelée lors du démarrage de l'application, au cours de la phase d'initialisation du fichier de configuration. Le nom de cette méthode est déguisé, ce qui peut prêter à confusion.
Après analyse, l'adresse IP du serveur de l'attaquant est située aux États-Unis. Le projet a récemment été mis à jour, les principaux changements étant concentrés dans le fichier de configuration, l'encodage de l'adresse du serveur de l'attaquant ayant été remplacé.
Analyse dynamique
Pour observer intuitivement le processus de vol, l'équipe de sécurité a écrit un script pour générer des paires de clés publiques et privées à des fins de test, et a mis en place un serveur HTTP pour recevoir des requêtes POST.
Remplacez le code d'adresse du serveur de test par le code d'adresse malveillant d'origine et remplissez la clé privée dans le fichier .env. Après avoir lancé le code malveillant, vous verrez que le serveur de test a réussi à recevoir des données JSON contenant des informations de clé privée.
De plus, plusieurs dépôts avec des méthodes de mise en œuvre similaires ont été découverts.
Résumé
L'attaquant se fait passer pour un projet open source légitime pour inciter les utilisateurs à exécuter du code malveillant. Ce projet lit des informations sensibles locales et transfère la clé privée volée au serveur de l'attaquant. Ce type d'attaque combine généralement des techniques d'ingénierie sociale, et un petit moment d'inattention de l'utilisateur peut suffire à le piéger.
Il est conseillé aux développeurs de rester vigilants face aux projets de provenance inconnue, en particulier lorsqu'il s'agit d'opérations liées aux portefeuilles ou aux clés privées. En cas de débogage, cela doit être effectué dans un environnement indépendant sans données sensibles, afin d'éviter d'exécuter des programmes et des commandes d'origine inconnue.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
5
Reposter
Partager
Commentaire
0/400
RamenDeFiSurvivor
· Il y a 18h
Projets Open Source, vous osez encore les toucher ? C'est de votre propre faute.
Voir l'originalRépondre0
ChainPoet
· 08-09 06:14
Tu utilises encore des projets Open Source ? Réveille-toi.
Voir l'originalRépondre0
rugdoc.eth
· 08-09 06:11
Regardez le code dix fois avant de le modifier.
Voir l'originalRépondre0
MonkeySeeMonkeyDo
· 08-09 06:02
Vraiment des artisans, c'est impressionnant.
Voir l'originalRépondre0
FUD_Whisperer
· 08-09 05:52
Peur de quoi ? J'utilise juste des outils altcoin Open Source.
Un nouveau type de Clé privée volée Bots apparaît dans l'écosystème Solana. Méfiez-vous des projets Open Source qui cachent des mystères.
L'écosystème Solana fait face à de nouveaux Bots malveillants : le fichier de configuration cache un piège pour le vol de Clé privée
Début juillet 2025, un utilisateur a sollicité l'aide de l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés. Après enquête, il a été découvert que l'incident provenait de l'utilisation par cet utilisateur d'un projet open source hébergé sur une certaine plateforme de code, ce qui a déclenché un comportement de vol de cryptomonnaies dissimulé.
Récemment, des utilisateurs ont de nouveau perdu leurs actifs cryptographiques en utilisant des projets open source similaires à audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. À cet égard, l'équipe de sécurité a mené une analyse approfondie.
Processus d'analyse
Analyse statique
Une analyse statique a révélé que le code suspect se trouve dans le fichier de configuration /src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet() pour obtenir les informations de clé privée.
Dans la méthode import_env_var(), elle est principalement utilisée pour obtenir les informations de configuration des variables d'environnement dans le fichier .env. Si la variable d'environnement n'existe pas, cela entraînera une boucle infinie, ce qui entraînera une consommation continue des ressources.
Les informations sensibles telles que la Clé privée sont stockées dans le fichier .env. Une fois la clé privée obtenue, le code malveillant vérifiera la longueur de la clé privée : si elle est inférieure à 85, il entrera dans une boucle infinie ; si elle est supérieure à 85, elle sera convertie en objet Keypair.
Ensuite, le code malveillant décode l'URL codée en dur pour obtenir l'adresse du serveur de l'attaquant. Il construit ensuite un corps de requête JSON, en envoyant les informations de la clé privée à ce serveur, tout en ignorant le résultat de la réponse.
La méthode create_coingecko_proxy() est appelée lors du démarrage de l'application, au cours de la phase d'initialisation du fichier de configuration. Le nom de cette méthode est déguisé, ce qui peut prêter à confusion.
Après analyse, l'adresse IP du serveur de l'attaquant est située aux États-Unis. Le projet a récemment été mis à jour, les principaux changements étant concentrés dans le fichier de configuration, l'encodage de l'adresse du serveur de l'attaquant ayant été remplacé.
Analyse dynamique
Pour observer intuitivement le processus de vol, l'équipe de sécurité a écrit un script pour générer des paires de clés publiques et privées à des fins de test, et a mis en place un serveur HTTP pour recevoir des requêtes POST.
Remplacez le code d'adresse du serveur de test par le code d'adresse malveillant d'origine et remplissez la clé privée dans le fichier .env. Après avoir lancé le code malveillant, vous verrez que le serveur de test a réussi à recevoir des données JSON contenant des informations de clé privée.
Indicateurs d'intrusion
De plus, plusieurs dépôts avec des méthodes de mise en œuvre similaires ont été découverts.
Résumé
L'attaquant se fait passer pour un projet open source légitime pour inciter les utilisateurs à exécuter du code malveillant. Ce projet lit des informations sensibles locales et transfère la clé privée volée au serveur de l'attaquant. Ce type d'attaque combine généralement des techniques d'ingénierie sociale, et un petit moment d'inattention de l'utilisateur peut suffire à le piéger.
Il est conseillé aux développeurs de rester vigilants face aux projets de provenance inconnue, en particulier lorsqu'il s'agit d'opérations liées aux portefeuilles ou aux clés privées. En cas de débogage, cela doit être effectué dans un environnement indépendant sans données sensibles, afin d'éviter d'exécuter des programmes et des commandes d'origine inconnue.