Ekosistem Solana Kembali Dihadapi Oleh Bot Jahat: Risiko Kebocoran Kunci Pribadi Tersembunyi dalam File Konfigurasi
Belakangan ini, beberapa pengguna kehilangan aset kripto mereka akibat penggunaan proyek sumber terbuka bernama audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Tim keamanan telah melakukan analisis mendalam terhadap metode serangan ini.
Proses Analisis
Analisis Statis
Ditemukan kode mencurigakan di file konfigurasi /src/common/config.rs, yang terutama terfokus pada metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet() untuk mendapatkan Kunci Pribadi, kemudian melakukan penilaian terhadap panjang Kunci Pribadi. Jika panjang Kunci Pribadi lebih dari 85, maka akan dikonversi menjadi objek Keypair dan dibungkus dengan Arc.
Selanjutnya, kode jahat mendekode konstanta yang dikodekan keras HELIUS_PROXY, mendapatkan alamat server penyerang
metode create_coingecko_proxy() dipanggil saat aplikasi dimulai, terletak di tahap inisialisasi file konfigurasi metode main() dalam main.rs. Metode ini juga mencakup fungsi normal seperti mendapatkan harga, untuk menyembunyikan perilaku jahatnya.
Proyek ini baru-baru ini diperbarui di GitHub pada 17 Juli 2025, (, dengan perubahan utama terletak pada file src/common/config.rs, di mana pengkodean alamat asli HELIUS_PROXY diganti dengan pengkodean baru.
![Ekosistem Solana sekali lagi muncul Bot jahat: profil konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana ekosistem muncul kembali bot jahat: profil konfigurasi menyimpan jebakan pengiriman kunci pribadi])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Ekosistem Solana kembali muncul Bot jahat: Profil menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Ekosistem Solana kembali muncul Bot berbahaya: profil tersembunyi Kunci Pribadi jebakan pengiriman])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Ekosistem Solana muncul kembali dengan Bot jahat: Profil menyimpan jebakan untuk mengekspor Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana ekosistem kembali diserang oleh Bot: profil konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Ekosistem Solana kembali muncul Bot jahat: Konfigurasi menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana ekosistem kembali muncul bot jahat: file konfigurasi menyimpan jebakan pengiriman kunci pribadi])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Ekosistem Solana kembali muncul Bot jahat: file konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
) Analisis Dinamis
Untuk mengamati proses pencurian secara intuitif, peneliti menulis skrip Python untuk menghasilkan pasangan kunci publik dan pribadi Solana yang digunakan untuk pengujian, dan membangun server HTTP yang menerima permintaan POST. Alamat server pengujian yang dikodekan menggantikan alamat server jahat yang diatur oleh penyerang, dan kunci pribadi pengujian diisi ke dalam file .env.
Setelah kode berbahaya dijalankan, server pengujian berhasil menerima data JSON yang berisi informasi Kunci Pribadi.
![Solana ekosistem muncul kembali Bot jahat: profil konfigurasi menyimpan jebakan pengalihan Kunci Pribadi]###https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Ekosistem Solana kembali muncul Bot jahat: Profil konfigurasi menyembunyikan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Ekosistem Solana muncul kembali dengan Bot jahat: Konfigurasi file menyembunyikan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ekosistem kembali muncul Bot jahat: file konfigurasi menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Ekosistem Solana kembali mengalami serangan Bot: Profil menyimpan jebakan untuk membocorkan Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Ekosistem Solana kembali muncul Bot jahat: Profil konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
Indikator Infiltrasi ) IoCs (
IP: 103.35.189.28
Nama Domain: storebackend-qpq3.onrender.com
Gudang Jahat:
Selain itu, juga ditemukan beberapa repositori GitHub yang menggunakan metode serupa.
![Solana ekosistem kembali muncul Bot jahat: file konfigurasi menyembunyikan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Solana ekosistem kembali muncul Bot jahat: file konfigurasi menyembunyikan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![Ekosistem Solana kembali muncul Bot jahat: profil konfigurasi menyembunyikan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Ringkasan
Penyerang menyamar sebagai proyek open source yang sah, memancing pengguna untuk menjalankan kode jahat. Kode tersebut akan membaca informasi sensitif dari file .env lokal dan mengirimkan kunci pribadi yang dicuri ke server yang dikendalikan oleh penyerang.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak diketahui asalnya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu melakukan debugging, sebaiknya dilakukan di lingkungan yang terpisah dan tanpa data sensitif, hindari menjalankan program dan perintah yang tidak diketahui asalnya.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
9 Suka
Hadiah
9
3
Posting ulang
Bagikan
Komentar
0/400
SchrodingerProfit
· 19jam yang lalu
Saya sudah menyerah, sekali lagi diserang oleh sol.
Lihat AsliBalas0
PaperHandSister
· 19jam yang lalu
Mencuri Kunci Pribadi pun bisa memikirkan cara ini... ahli ada di kalangan masyarakat.
Risiko pencurian Kunci Pribadi tersembunyi di ekosistem Solana, Bot jahat menyamar sebagai file konfigurasi untuk mencuri aset.
Ekosistem Solana Kembali Dihadapi Oleh Bot Jahat: Risiko Kebocoran Kunci Pribadi Tersembunyi dalam File Konfigurasi
Belakangan ini, beberapa pengguna kehilangan aset kripto mereka akibat penggunaan proyek sumber terbuka bernama audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Tim keamanan telah melakukan analisis mendalam terhadap metode serangan ini.
Proses Analisis
Analisis Statis
Ditemukan kode mencurigakan di file konfigurasi /src/common/config.rs, yang terutama terfokus pada metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet() untuk mendapatkan Kunci Pribadi, kemudian melakukan penilaian terhadap panjang Kunci Pribadi. Jika panjang Kunci Pribadi lebih dari 85, maka akan dikonversi menjadi objek Keypair dan dibungkus dengan Arc.
Selanjutnya, kode jahat mendekode konstanta yang dikodekan keras HELIUS_PROXY, mendapatkan alamat server penyerang
metode create_coingecko_proxy() dipanggil saat aplikasi dimulai, terletak di tahap inisialisasi file konfigurasi metode main() dalam main.rs. Metode ini juga mencakup fungsi normal seperti mendapatkan harga, untuk menyembunyikan perilaku jahatnya.
Proyek ini baru-baru ini diperbarui di GitHub pada 17 Juli 2025, (, dengan perubahan utama terletak pada file src/common/config.rs, di mana pengkodean alamat asli HELIUS_PROXY diganti dengan pengkodean baru.
![Ekosistem Solana sekali lagi muncul Bot jahat: profil konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana ekosistem muncul kembali bot jahat: profil konfigurasi menyimpan jebakan pengiriman kunci pribadi])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Ekosistem Solana kembali muncul Bot jahat: Profil menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Ekosistem Solana kembali muncul Bot berbahaya: profil tersembunyi Kunci Pribadi jebakan pengiriman])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Ekosistem Solana muncul kembali dengan Bot jahat: Profil menyimpan jebakan untuk mengekspor Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana ekosistem kembali diserang oleh Bot: profil konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana生态再现恶意Bot:配置文件暗藏Kunci Pribadi外传陷阱])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Ekosistem Solana kembali muncul Bot jahat: Konfigurasi menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana ekosistem kembali muncul bot jahat: file konfigurasi menyimpan jebakan pengiriman kunci pribadi])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Ekosistem Solana kembali muncul Bot jahat: file konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
) Analisis Dinamis
Untuk mengamati proses pencurian secara intuitif, peneliti menulis skrip Python untuk menghasilkan pasangan kunci publik dan pribadi Solana yang digunakan untuk pengujian, dan membangun server HTTP yang menerima permintaan POST. Alamat server pengujian yang dikodekan menggantikan alamat server jahat yang diatur oleh penyerang, dan kunci pribadi pengujian diisi ke dalam file .env.
Setelah kode berbahaya dijalankan, server pengujian berhasil menerima data JSON yang berisi informasi Kunci Pribadi.
![Solana ekosistem muncul kembali Bot jahat: profil konfigurasi menyimpan jebakan pengalihan Kunci Pribadi]###https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Ekosistem Solana kembali muncul Bot jahat: Profil konfigurasi menyembunyikan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Ekosistem Solana muncul kembali dengan Bot jahat: Konfigurasi file menyembunyikan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ekosistem kembali muncul Bot jahat: file konfigurasi menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Ekosistem Solana kembali mengalami serangan Bot: Profil menyimpan jebakan untuk membocorkan Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Ekosistem Solana kembali muncul Bot jahat: Profil konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
Indikator Infiltrasi ) IoCs (
Selain itu, juga ditemukan beberapa repositori GitHub yang menggunakan metode serupa.
![Solana生态再现恶意机器人:配置文件暗藏Kunci Pribadi外传陷阱])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![Solana ekosistem kembali muncul Bot jahat: file konfigurasi menyembunyikan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Solana ekosistem kembali muncul Bot jahat: file konfigurasi menyembunyikan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![Ekosistem Solana kembali muncul Bot jahat: profil konfigurasi menyembunyikan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Ringkasan
Penyerang menyamar sebagai proyek open source yang sah, memancing pengguna untuk menjalankan kode jahat. Kode tersebut akan membaca informasi sensitif dari file .env lokal dan mengirimkan kunci pribadi yang dicuri ke server yang dikendalikan oleh penyerang.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak diketahui asalnya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu melakukan debugging, sebaiknya dilakukan di lingkungan yang terpisah dan tanpa data sensitif, hindari menjalankan program dan perintah yang tidak diketahui asalnya.