Ecossistema Solana apresenta novamente Bots maliciosos: riscos de vazamento de Chave privada escondidos na configuração
Recentemente, alguns usuários perderam ativos criptográficos devido ao uso de um projeto de código aberto chamado audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. A equipe de segurança analisou profundamente essa técnica de ataque.
Processo de Análise
Análise estática
Foi encontrado código suspeito no arquivo de configuração /src/common/config.rs, principalmente concentrado no método create_coingecko_proxy(). Este método chama primeiro import_wallet() para obter a Chave privada, e em seguida verifica o comprimento da Chave privada. Se o comprimento da Chave privada for superior a 85, ela é convertida em um objeto Keypair e encapsulada com Arc.
Em seguida, o código malicioso decodifica uma constante codificada HELIUS_PROXY, obtendo o endereço do servidor do atacante.
create_coingecko_proxy() método é chamado quando a aplicação é iniciada, localizado na fase de inicialização do arquivo de configuração do método main() em main.rs. Este método também inclui funções normais como obter preços, a fim de encobrir seu comportamento malicioso.
O projeto foi atualizado recentemente no GitHub em 17 de julho de 2025, com as principais alterações concentradas no arquivo src/common/config.rs, onde o endereço original da HELIUS_PROXY foi substituído por uma nova codificação.
( Análise dinâmica
Para observar intuitivamente o processo de roubo, os pesquisadores escreveram um script Python para gerar pares de chaves públicas e privadas do Solana para testes e montaram um servidor HTTP para receber solicitações POST. O endereço do servidor de teste foi codificado para substituir o endereço do servidor malicioso definido pelo atacante, e a chave privada de teste foi preenchida no arquivo .env.
Após iniciar o código malicioso, o servidor de teste recebeu com sucesso os dados JSON contendo informações da chave privada.
![Solana ecossistema reexibe Bots maliciosos: perfil configura armadilha para vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp###
Indicadores de invasão ( IoCs )
IP: 103.35.189.28
Domínio: storebackend-qpq3.onrender.com
Armazenamento malicioso:
Além disso, foram encontrados vários repositórios no GitHub que utilizam métodos semelhantes.
Resumo
Os atacantes disfarçam-se de projetos de código aberto legítimos, induzindo os usuários a executar código malicioso. Esse código lê informações sensíveis do arquivo .env local e transfere a chave privada roubada para um servidor controlado pelo atacante.
Recomenda-se que os desenvolvedores e usuários mantenham-se atentos a projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se for necessário fazer depuração, deve ser realizada em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos de origem desconhecida.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
9 Curtidas
Recompensa
9
3
Repostar
Compartilhar
Comentário
0/400
SchrodingerProfit
· 23h atrás
Fiquei tranquilo, novamente fui apunhalado pelas costas pelo sol.
Ver originalResponder0
PaperHandSister
· 23h atrás
Roubar a chave privada já é uma boa ideia... os mestres estão entre o povo.
Risco oculto de roubo de chave privada no ecossistema Solana, bots maliciosos disfarçando perfis para roubar ativos.
Ecossistema Solana apresenta novamente Bots maliciosos: riscos de vazamento de Chave privada escondidos na configuração
Recentemente, alguns usuários perderam ativos criptográficos devido ao uso de um projeto de código aberto chamado audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. A equipe de segurança analisou profundamente essa técnica de ataque.
Processo de Análise
Análise estática
Foi encontrado código suspeito no arquivo de configuração /src/common/config.rs, principalmente concentrado no método create_coingecko_proxy(). Este método chama primeiro import_wallet() para obter a Chave privada, e em seguida verifica o comprimento da Chave privada. Se o comprimento da Chave privada for superior a 85, ela é convertida em um objeto Keypair e encapsulada com Arc.
Em seguida, o código malicioso decodifica uma constante codificada HELIUS_PROXY, obtendo o endereço do servidor do atacante.
create_coingecko_proxy() método é chamado quando a aplicação é iniciada, localizado na fase de inicialização do arquivo de configuração do método main() em main.rs. Este método também inclui funções normais como obter preços, a fim de encobrir seu comportamento malicioso.
O projeto foi atualizado recentemente no GitHub em 17 de julho de 2025, com as principais alterações concentradas no arquivo src/common/config.rs, onde o endereço original da HELIUS_PROXY foi substituído por uma nova codificação.
( Análise dinâmica
Para observar intuitivamente o processo de roubo, os pesquisadores escreveram um script Python para gerar pares de chaves públicas e privadas do Solana para testes e montaram um servidor HTTP para receber solicitações POST. O endereço do servidor de teste foi codificado para substituir o endereço do servidor malicioso definido pelo atacante, e a chave privada de teste foi preenchida no arquivo .env.
Após iniciar o código malicioso, o servidor de teste recebeu com sucesso os dados JSON contendo informações da chave privada.
![Solana ecossistema reexibe Bots maliciosos: perfil configura armadilha para vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp###
Indicadores de invasão ( IoCs )
Além disso, foram encontrados vários repositórios no GitHub que utilizam métodos semelhantes.
Resumo
Os atacantes disfarçam-se de projetos de código aberto legítimos, induzindo os usuários a executar código malicioso. Esse código lê informações sensíveis do arquivo .env local e transfere a chave privada roubada para um servidor controlado pelo atacante.
Recomenda-se que os desenvolvedores e usuários mantenham-se atentos a projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se for necessário fazer depuração, deve ser realizada em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos de origem desconhecida.