Ecossistema Solana apresenta novamente Bots maliciosos: riscos de vazamento de Chave privada escondidos na configuração
Recentemente, alguns usuários perderam ativos criptográficos devido ao uso de um projeto de código aberto chamado audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. A equipe de segurança analisou profundamente essa técnica de ataque.
Processo de Análise
Análise estática
Foi encontrado código suspeito no arquivo de configuração /src/common/config.rs, principalmente concentrado no método create_coingecko_proxy(). Este método chama primeiro import_wallet() para obter a Chave privada, e em seguida verifica o comprimento da Chave privada. Se o comprimento da Chave privada for superior a 85, ela é convertida em um objeto Keypair e encapsulada com Arc.
Em seguida, o código malicioso decodifica uma constante codificada HELIUS_PROXY, obtendo o endereço do servidor do atacante.
create_coingecko_proxy() método é chamado quando a aplicação é iniciada, localizado na fase de inicialização do arquivo de configuração do método main() em main.rs. Este método também inclui funções normais como obter preços, a fim de encobrir seu comportamento malicioso.
O projeto foi atualizado recentemente no GitHub em 17 de julho de 2025, com as principais alterações concentradas no arquivo src/common/config.rs, onde o endereço original da HELIUS_PROXY foi substituído por uma nova codificação.
( Análise dinâmica
Para observar intuitivamente o processo de roubo, os pesquisadores escreveram um script Python para gerar pares de chaves públicas e privadas do Solana para testes e montaram um servidor HTTP para receber solicitações POST. O endereço do servidor de teste foi codificado para substituir o endereço do servidor malicioso definido pelo atacante, e a chave privada de teste foi preenchida no arquivo .env.
Após iniciar o código malicioso, o servidor de teste recebeu com sucesso os dados JSON contendo informações da chave privada.
![Solana ecossistema reexibe Bots maliciosos: perfil configura armadilha para vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp###
Indicadores de invasão ( IoCs )
IP: 103.35.189.28
Domínio: storebackend-qpq3.onrender.com
Armazenamento malicioso:
Além disso, foram encontrados vários repositórios no GitHub que utilizam métodos semelhantes.
Resumo
Os atacantes disfarçam-se de projetos de código aberto legítimos, induzindo os usuários a executar código malicioso. Esse código lê informações sensíveis do arquivo .env local e transfere a chave privada roubada para um servidor controlado pelo atacante.
Recomenda-se que os desenvolvedores e usuários mantenham-se atentos a projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se for necessário fazer depuração, deve ser realizada em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos de origem desconhecida.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Risco oculto de roubo de chave privada no ecossistema Solana, bots maliciosos disfarçando perfis para roubar ativos.
Ecossistema Solana apresenta novamente Bots maliciosos: riscos de vazamento de Chave privada escondidos na configuração
Recentemente, alguns usuários perderam ativos criptográficos devido ao uso de um projeto de código aberto chamado audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. A equipe de segurança analisou profundamente essa técnica de ataque.
Processo de Análise
Análise estática
Foi encontrado código suspeito no arquivo de configuração /src/common/config.rs, principalmente concentrado no método create_coingecko_proxy(). Este método chama primeiro import_wallet() para obter a Chave privada, e em seguida verifica o comprimento da Chave privada. Se o comprimento da Chave privada for superior a 85, ela é convertida em um objeto Keypair e encapsulada com Arc.
Em seguida, o código malicioso decodifica uma constante codificada HELIUS_PROXY, obtendo o endereço do servidor do atacante.
create_coingecko_proxy() método é chamado quando a aplicação é iniciada, localizado na fase de inicialização do arquivo de configuração do método main() em main.rs. Este método também inclui funções normais como obter preços, a fim de encobrir seu comportamento malicioso.
O projeto foi atualizado recentemente no GitHub em 17 de julho de 2025, com as principais alterações concentradas no arquivo src/common/config.rs, onde o endereço original da HELIUS_PROXY foi substituído por uma nova codificação.
( Análise dinâmica
Para observar intuitivamente o processo de roubo, os pesquisadores escreveram um script Python para gerar pares de chaves públicas e privadas do Solana para testes e montaram um servidor HTTP para receber solicitações POST. O endereço do servidor de teste foi codificado para substituir o endereço do servidor malicioso definido pelo atacante, e a chave privada de teste foi preenchida no arquivo .env.
Após iniciar o código malicioso, o servidor de teste recebeu com sucesso os dados JSON contendo informações da chave privada.
![Solana ecossistema reexibe Bots maliciosos: perfil configura armadilha para vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp###
Indicadores de invasão ( IoCs )
Além disso, foram encontrados vários repositórios no GitHub que utilizam métodos semelhantes.
Resumo
Os atacantes disfarçam-se de projetos de código aberto legítimos, induzindo os usuários a executar código malicioso. Esse código lê informações sensíveis do arquivo .env local e transfere a chave privada roubada para um servidor controlado pelo atacante.
Recomenda-se que os desenvolvedores e usuários mantenham-se atentos a projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se for necessário fazer depuração, deve ser realizada em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos de origem desconhecida.