Le risque caché de vol de clés privées dans l'écosystème Solana : des bots malveillants se déguisent en fichiers de configuration pour voler des actifs.
Écosystème Solana : réapparition de Bots malveillants, le risque de fuite de Clé privée caché dans le profil
Récemment, des utilisateurs ont subi le vol de leurs actifs cryptographiques en utilisant un projet open source nommé audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. L'équipe de sécurité a mené une analyse approfondie de cette méthode d'attaque.
Processus d'analyse
Analyse statique
Dans le fichier de configuration /src/common/config.rs, un code suspect a été découvert, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode commence par appeler import_wallet() pour obtenir la clé privée, puis vérifie la longueur de la clé privée. Si la longueur de la clé privée est supérieure à 85, elle est convertie en objet Keypair et encapsulée avec Arc.
Ensuite, le code malveillant décode une constante codée en dur HELIUS_PROXY, obtenant l'adresse du serveur de l'attaquant.
La méthode create_coingecko_proxy() est appelée lors du démarrage de l'application, pendant la phase d'initialisation du fichier de configuration de la méthode main() située dans main.rs. Cette méthode contient également des fonctions normales telles que l'obtention des prix, afin de dissimuler ses comportements malveillants.
Le projet a été mis à jour récemment sur GitHub le 17 juillet 2025, principalement les modifications se concentrent dans le fichier src/common/config.rs, l'encodage de l'adresse d'origine de HELIUS_PROXY a été remplacé par un nouvel encodage.
( Analyse dynamique
Pour observer de manière intuitive le processus de vol, les chercheurs ont écrit un script Python pour générer des paires de clés publiques et privées Solana pour les tests, et ont mis en place un serveur HTTP pour recevoir des requêtes POST. L'adresse du serveur de test a remplacé l'adresse du serveur malveillant configurée par l'attaquant, et la clé privée de test a été remplie dans le fichier .env.
Après le lancement du code malveillant, le serveur de test a réussi à recevoir des données JSON contenant des informations sur la Clé privée.
![L'écosystème Solana présente à nouveau des Bots malveillants : le profil cache un piège de divulgation de Clé privée])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp###
Indicateurs d'intrusion ( IoCs )
IP : 103.35.189.28
Domaine : storebackend-qpq3.onrender.com
Entrepôt malveillant:
De plus, plusieurs dépôts GitHub utilisant des techniques similaires ont été découverts.
Résumé
L'attaquant se fait passer pour un projet open source légitime pour inciter les utilisateurs à exécuter du code malveillant. Ce code lira les informations sensibles dans le fichier .env local et transmettra la clé privée volée à un serveur contrôlé par l'attaquant.
Il est conseillé aux développeurs de rester vigilants face aux projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille ou de clé privée. En cas de débogage, cela doit être effectué dans un environnement isolé et sans données sensibles, afin d'éviter l'exécution de programmes et de commandes d'origine inconnue.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
4
Reposter
Partager
Commentaire
0/400
TokenBeginner'sGuide
· 08-14 03:15
Petit rappel : Clé privée divulguée = Portefeuille vidé, ne jamais ouvrir de code source inconnu !
Voir l'originalRépondre0
SchrodingerProfit
· 08-11 04:45
J'en ai marre, encore une fois trahi par sol.
Voir l'originalRépondre0
PaperHandSister
· 08-11 04:40
Voler une clé privée, ils peuvent même penser à ça... Les experts sont dans le peuple.
Le risque caché de vol de clés privées dans l'écosystème Solana : des bots malveillants se déguisent en fichiers de configuration pour voler des actifs.
Écosystème Solana : réapparition de Bots malveillants, le risque de fuite de Clé privée caché dans le profil
Récemment, des utilisateurs ont subi le vol de leurs actifs cryptographiques en utilisant un projet open source nommé audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. L'équipe de sécurité a mené une analyse approfondie de cette méthode d'attaque.
Processus d'analyse
Analyse statique
Dans le fichier de configuration /src/common/config.rs, un code suspect a été découvert, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode commence par appeler import_wallet() pour obtenir la clé privée, puis vérifie la longueur de la clé privée. Si la longueur de la clé privée est supérieure à 85, elle est convertie en objet Keypair et encapsulée avec Arc.
Ensuite, le code malveillant décode une constante codée en dur HELIUS_PROXY, obtenant l'adresse du serveur de l'attaquant.
La méthode create_coingecko_proxy() est appelée lors du démarrage de l'application, pendant la phase d'initialisation du fichier de configuration de la méthode main() située dans main.rs. Cette méthode contient également des fonctions normales telles que l'obtention des prix, afin de dissimuler ses comportements malveillants.
Le projet a été mis à jour récemment sur GitHub le 17 juillet 2025, principalement les modifications se concentrent dans le fichier src/common/config.rs, l'encodage de l'adresse d'origine de HELIUS_PROXY a été remplacé par un nouvel encodage.
( Analyse dynamique
Pour observer de manière intuitive le processus de vol, les chercheurs ont écrit un script Python pour générer des paires de clés publiques et privées Solana pour les tests, et ont mis en place un serveur HTTP pour recevoir des requêtes POST. L'adresse du serveur de test a remplacé l'adresse du serveur malveillant configurée par l'attaquant, et la clé privée de test a été remplie dans le fichier .env.
Après le lancement du code malveillant, le serveur de test a réussi à recevoir des données JSON contenant des informations sur la Clé privée.
![L'écosystème Solana présente à nouveau des Bots malveillants : le profil cache un piège de divulgation de Clé privée])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp###
Indicateurs d'intrusion ( IoCs )
De plus, plusieurs dépôts GitHub utilisant des techniques similaires ont été découverts.
Résumé
L'attaquant se fait passer pour un projet open source légitime pour inciter les utilisateurs à exécuter du code malveillant. Ce code lira les informations sensibles dans le fichier .env local et transmettra la clé privée volée à un serveur contrôlé par l'attaquant.
Il est conseillé aux développeurs de rester vigilants face aux projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille ou de clé privée. En cas de débogage, cela doit être effectué dans un environnement isolé et sans données sensibles, afin d'éviter l'exécution de programmes et de commandes d'origine inconnue.