Ekosistem Solana kembali muncul Bot jahat: file konfigurasi menyimpan jebakan pencurian Kunci Pribadi
Pada awal Juli 2025, seorang pengguna meminta bantuan tim keamanan, mengklaim bahwa aset kriptonya dicuri. Setelah penyelidikan, ditemukan bahwa kejadian ini berasal dari pengguna yang menggunakan proyek sumber terbuka yang dihosting di suatu platform kode, yang kemudian memicu tindakan pencurian koin yang tersembunyi.
Baru-baru ini, ada pengguna yang kehilangan aset kripto karena menggunakan proyek sumber terbuka serupa audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Mengenai hal ini, tim keamanan telah melakukan analisis mendalam.
Proses Analisis
Analisis Statis
Melalui analisis statis, ditemukan kode mencurigakan terletak di file konfigurasi /src/common/config.rs, terutama terfokus pada metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet() untuk mendapatkan Kunci Pribadi.
Dalam metode import_env_var(), digunakan utama untuk mendapatkan informasi konfigurasi variabel lingkungan dari file .env. Jika variabel lingkungan tidak ada, akan masuk ke dalam loop tak terbatas, yang menyebabkan konsumsi sumber daya yang terus-menerus.
Kunci Pribadi dan informasi sensitif lainnya disimpan dalam file .env. Setelah mendapatkan kunci pribadi, kode jahat akan memeriksa panjang kunci pribadi: jika kurang dari 85, akan masuk ke dalam loop tak terbatas; jika lebih dari 85, maka akan diubah menjadi objek Keypair.
Kemudian, kode jahat mendekode alamat URL yang dikodekan, mendapatkan alamat server penyerang. Selanjutnya, membangun tubuh permintaan JSON, mengirimkan informasi kunci pribadi ke server tersebut, sambil mengabaikan hasil respons.
create_coingecko_proxy() metode dipanggil saat aplikasi diluncurkan, terletak pada tahap inisialisasi file konfigurasi. Nama metode ini telah disamarkan, sehingga memiliki tingkat kebingungan tertentu.
Setelah dianalisis, IP server penyerang berada di Amerika Serikat. Proyek ini baru-baru ini diperbarui, dengan perubahan utama terfokus pada file konfigurasi, di mana pengkodean alamat server penyerang telah diganti.
Analisis Dinamis
Untuk mengamati proses pencurian secara intuitif, tim keamanan menulis skrip untuk menghasilkan pasangan kunci publik dan kunci pribadi untuk pengujian, dan membangun server HTTP yang menerima permintaan POST.
Ganti pengkodean alamat server pengujian dengan pengkodean alamat jahat yang asli, dan masukkan Kunci Pribadi pengujian ke dalam file .env. Setelah kode jahat dijalankan, Anda dapat melihat server pengujian berhasil menerima data JSON yang berisi informasi Kunci Pribadi.
Selain itu, juga ditemukan beberapa repositori dengan metode implementasi serupa.
Ringkasan
Penyerang menyamar sebagai proyek open source yang sah, mengelabui pengguna untuk mengeksekusi kode jahat. Proyek ini akan membaca informasi sensitif lokal dan mentransfer kunci pribadi yang dicuri ke server penyerang. Jenis serangan ini biasanya dikombinasikan dengan teknik rekayasa sosial, dan pengguna yang sedikit lengah dapat menjadi korban.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek yang tidak jelas sumbernya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu melakukan pengujian, harus dilakukan di lingkungan yang terpisah tanpa data sensitif, dan hindari menjalankan program dan perintah yang tidak jelas sumbernya.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
7 Suka
Hadiah
7
5
Posting ulang
Bagikan
Komentar
0/400
RamenDeFiSurvivor
· 9jam yang lalu
Sumber Terbuka proyek masih berani disentuh? Mencari masalah sendiri.
Lihat AsliBalas0
ChainPoet
· 15jam yang lalu
Masih menggunakan proyek Sumber Terbuka? Sadar!
Lihat AsliBalas0
rugdoc.eth
· 15jam yang lalu
Setiap kali mengubah kode, lihat sepuluh kali dulu.
Lihat AsliBalas0
MonkeySeeMonkeyDo
· 15jam yang lalu
Benar-benar seorang pengrajin, hebat.
Lihat AsliBalas0
FUD_Whisperer
· 15jam yang lalu
Takut apa, saya hanya menggunakan alat Sumber Terbuka altcoin.
Solana ekosistem mengejutkan dengan munculnya jenis baru Kunci Pribadi pencurian Bot, hati-hati terhadap Sumber Terbuka proyek yang menyimpan rahasia.
Ekosistem Solana kembali muncul Bot jahat: file konfigurasi menyimpan jebakan pencurian Kunci Pribadi
Pada awal Juli 2025, seorang pengguna meminta bantuan tim keamanan, mengklaim bahwa aset kriptonya dicuri. Setelah penyelidikan, ditemukan bahwa kejadian ini berasal dari pengguna yang menggunakan proyek sumber terbuka yang dihosting di suatu platform kode, yang kemudian memicu tindakan pencurian koin yang tersembunyi.
Baru-baru ini, ada pengguna yang kehilangan aset kripto karena menggunakan proyek sumber terbuka serupa audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Mengenai hal ini, tim keamanan telah melakukan analisis mendalam.
Proses Analisis
Analisis Statis
Melalui analisis statis, ditemukan kode mencurigakan terletak di file konfigurasi /src/common/config.rs, terutama terfokus pada metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet() untuk mendapatkan Kunci Pribadi.
Dalam metode import_env_var(), digunakan utama untuk mendapatkan informasi konfigurasi variabel lingkungan dari file .env. Jika variabel lingkungan tidak ada, akan masuk ke dalam loop tak terbatas, yang menyebabkan konsumsi sumber daya yang terus-menerus.
Kunci Pribadi dan informasi sensitif lainnya disimpan dalam file .env. Setelah mendapatkan kunci pribadi, kode jahat akan memeriksa panjang kunci pribadi: jika kurang dari 85, akan masuk ke dalam loop tak terbatas; jika lebih dari 85, maka akan diubah menjadi objek Keypair.
Kemudian, kode jahat mendekode alamat URL yang dikodekan, mendapatkan alamat server penyerang. Selanjutnya, membangun tubuh permintaan JSON, mengirimkan informasi kunci pribadi ke server tersebut, sambil mengabaikan hasil respons.
create_coingecko_proxy() metode dipanggil saat aplikasi diluncurkan, terletak pada tahap inisialisasi file konfigurasi. Nama metode ini telah disamarkan, sehingga memiliki tingkat kebingungan tertentu.
Setelah dianalisis, IP server penyerang berada di Amerika Serikat. Proyek ini baru-baru ini diperbarui, dengan perubahan utama terfokus pada file konfigurasi, di mana pengkodean alamat server penyerang telah diganti.
Analisis Dinamis
Untuk mengamati proses pencurian secara intuitif, tim keamanan menulis skrip untuk menghasilkan pasangan kunci publik dan kunci pribadi untuk pengujian, dan membangun server HTTP yang menerima permintaan POST.
Ganti pengkodean alamat server pengujian dengan pengkodean alamat jahat yang asli, dan masukkan Kunci Pribadi pengujian ke dalam file .env. Setelah kode jahat dijalankan, Anda dapat melihat server pengujian berhasil menerima data JSON yang berisi informasi Kunci Pribadi.
Indikator Invasi
Selain itu, juga ditemukan beberapa repositori dengan metode implementasi serupa.
Ringkasan
Penyerang menyamar sebagai proyek open source yang sah, mengelabui pengguna untuk mengeksekusi kode jahat. Proyek ini akan membaca informasi sensitif lokal dan mentransfer kunci pribadi yang dicuri ke server penyerang. Jenis serangan ini biasanya dikombinasikan dengan teknik rekayasa sosial, dan pengguna yang sedikit lengah dapat menjadi korban.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek yang tidak jelas sumbernya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu melakukan pengujian, harus dilakukan di lingkungan yang terpisah tanpa data sensitif, dan hindari menjalankan program dan perintah yang tidak jelas sumbernya.