O ecossistema Solana apresenta novamente Bots maliciosos: os arquivos de configuração escondem armadilhas para roubo de Chave privada
No início de julho de 2025, um usuário procurou a equipe de segurança, alegando que seus ativos criptográficos haviam sido roubados. Após investigação, descobriu-se que o incidente se originou do uso por parte do usuário de um projeto de código aberto hospedado em uma determinada plataforma de código, que desencadeou um comportamento oculto de roubo de moedas.
Recentemente, mais usuários tiveram seus ativos criptográficos roubados devido ao uso de projetos de código aberto semelhantes ao audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Em resposta, a equipe de segurança realizou uma análise aprofundada.
Processo de Análise
Análise estática
Através da análise estática, foi encontrado código suspeito no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método primeiro chama import_wallet() para obter informações da chave privada.
No método import_env_var(), é principalmente utilizado para obter informações de configuração de variáveis de ambiente do arquivo .env. Se a variável de ambiente não existir, entrará em um loop infinito, levando ao consumo contínuo de recursos.
As informações sensíveis, como a CHAVE PRIVADA, são armazenadas no arquivo .env. Após obter a chave privada, o código malicioso verificará o comprimento da chave privada: se for menor que 85, entrará em um loop infinito; se for maior que 85, irá convertê-la em um objeto Keypair.
Em seguida, o código malicioso decodifica o endereço URL hardcoded, obtendo o endereço do servidor do atacante. Depois, constrói o corpo da requisição JSON, enviando as informações da Chave privada para esse servidor, enquanto ignora o resultado da resposta.
O método create_coingecko_proxy() é chamado na inicialização do aplicativo, localizado na fase de inicialização do arquivo de configuração. O nome desse método foi disfarçado, tendo uma certa confusão.
Após análise, o IP do servidor do atacante está localizado nos Estados Unidos. O projeto foi atualizado recentemente, com as principais alterações concentradas no arquivo de configuração, onde a codificação do endereço do servidor do atacante foi substituída.
Análise dinâmica
Para observar visualmente o processo de roubo, a equipe de segurança escreveu um script para gerar pares de chaves públicas e privadas para testes, e montou um servidor HTTP para receber solicitações POST.
Substitua a codificação do endereço do servidor de teste pela codificação do endereço malicioso original e insira a chave privada de teste no arquivo .env. Após iniciar o código malicioso, você poderá ver que o servidor de teste recebeu com sucesso os dados JSON contendo informações da chave privada.
Além disso, foram encontrados vários repositórios com implementações semelhantes.
Resumo
Os atacantes disfarçam-se como projetos de código aberto legítimos, induzindo os usuários a executar códigos maliciosos. O projeto lê informações sensíveis locais e transfere as chaves privadas roubadas para o servidor do atacante. Esse tipo de ataque geralmente combina técnicas de engenharia social, onde uma pequena descuido do usuário pode resultar em comprometimento.
Recomenda-se que os desenvolvedores e os usuários mantenham vigilância em relação a projetos de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se for necessário depurar, deve-se fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos de origem desconhecida.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
8 Curtidas
Recompensa
8
5
Repostar
Compartilhar
Comentário
0/400
RamenDeFiSurvivor
· 11h atrás
Código aberto projeto ainda se atreve a tocar? Procurando problemas.
Ver originalResponder0
ChainPoet
· 17h atrás
Ainda está a usar projetos de Código aberto? Acorda
Ver originalResponder0
rugdoc.eth
· 17h atrás
Antes de ajustar o código, veja-o dez vezes.
Ver originalResponder0
MonkeySeeMonkeyDo
· 17h atrás
Realmente há artesãos, incrível!
Ver originalResponder0
FUD_Whisperer
· 17h atrás
Não tenho medo. Eu uso ferramentas de Código aberto altcoin.
Surge um novo tipo de Bots de roubo de Chave privada no ecossistema Solana. Cuidado com os projetos de Código aberto que escondem segredos.
O ecossistema Solana apresenta novamente Bots maliciosos: os arquivos de configuração escondem armadilhas para roubo de Chave privada
No início de julho de 2025, um usuário procurou a equipe de segurança, alegando que seus ativos criptográficos haviam sido roubados. Após investigação, descobriu-se que o incidente se originou do uso por parte do usuário de um projeto de código aberto hospedado em uma determinada plataforma de código, que desencadeou um comportamento oculto de roubo de moedas.
Recentemente, mais usuários tiveram seus ativos criptográficos roubados devido ao uso de projetos de código aberto semelhantes ao audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Em resposta, a equipe de segurança realizou uma análise aprofundada.
Processo de Análise
Análise estática
Através da análise estática, foi encontrado código suspeito no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método primeiro chama import_wallet() para obter informações da chave privada.
No método import_env_var(), é principalmente utilizado para obter informações de configuração de variáveis de ambiente do arquivo .env. Se a variável de ambiente não existir, entrará em um loop infinito, levando ao consumo contínuo de recursos.
As informações sensíveis, como a CHAVE PRIVADA, são armazenadas no arquivo .env. Após obter a chave privada, o código malicioso verificará o comprimento da chave privada: se for menor que 85, entrará em um loop infinito; se for maior que 85, irá convertê-la em um objeto Keypair.
Em seguida, o código malicioso decodifica o endereço URL hardcoded, obtendo o endereço do servidor do atacante. Depois, constrói o corpo da requisição JSON, enviando as informações da Chave privada para esse servidor, enquanto ignora o resultado da resposta.
O método create_coingecko_proxy() é chamado na inicialização do aplicativo, localizado na fase de inicialização do arquivo de configuração. O nome desse método foi disfarçado, tendo uma certa confusão.
Após análise, o IP do servidor do atacante está localizado nos Estados Unidos. O projeto foi atualizado recentemente, com as principais alterações concentradas no arquivo de configuração, onde a codificação do endereço do servidor do atacante foi substituída.
Análise dinâmica
Para observar visualmente o processo de roubo, a equipe de segurança escreveu um script para gerar pares de chaves públicas e privadas para testes, e montou um servidor HTTP para receber solicitações POST.
Substitua a codificação do endereço do servidor de teste pela codificação do endereço malicioso original e insira a chave privada de teste no arquivo .env. Após iniciar o código malicioso, você poderá ver que o servidor de teste recebeu com sucesso os dados JSON contendo informações da chave privada.
Indicadores de invasão
Além disso, foram encontrados vários repositórios com implementações semelhantes.
Resumo
Os atacantes disfarçam-se como projetos de código aberto legítimos, induzindo os usuários a executar códigos maliciosos. O projeto lê informações sensíveis locais e transfere as chaves privadas roubadas para o servidor do atacante. Esse tipo de ataque geralmente combina técnicas de engenharia social, onde uma pequena descuido do usuário pode resultar em comprometimento.
Recomenda-se que os desenvolvedores e os usuários mantenham vigilância em relação a projetos de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se for necessário depurar, deve-se fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos de origem desconhecida.