В экосистеме Solana вновь появились злонамеренные Боты: риск утечки Закрытого ключа из-за скрытых конфигурационных файлов
Недавно пользователи стали жертвами кражи криптоактивов из-за использования открытого проекта под названием audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Команда безопасности провела глубокий анализ этого метода атаки.
Анализ процесса
Статический анализ
В файле конфигурации /src/common/config.rs обнаружен подозрительный код, в основном сосредоточенный в методе create_coingecko_proxy(). Этот метод сначала вызывает import_wallet() для получения Закрытый ключ, затем проверяет длину Закрытый ключ. Если длина Закрытый ключ больше 85, он преобразует его в объект Keypair и оборачивает в Arc.
Затем вредоносный код декодирует жестко закодированную константу HELIUS_PROXY, получая адрес сервера злоумышленника.
Метод create_coingecko_proxy() вызывается при запуске приложения, находится на этапе инициализации конфигурационного файла метода main() в main.rs. Этот метод также включает в себя нормальные функции, такие как получение цен, чтобы скрыть свои злонамеренные действия.
Проект был обновлён на GitHub 17 июля 2025 года, основные изменения сосредоточены в файле src/common/config.rs, оригинальное кодирование адреса HELIUS_PROXY было заменено на новое.
( Динамический анализ
Чтобы наглядно наблюдать за процессом кражи, исследователи написали скрипт на Python для генерации тестовых пар публичных и закрытых ключей Solana и настроили HTTP-сервер для приема POST-запросов. Адрес тестового сервера закодирован, заменяя закодированный адрес вредоносного сервера, установленного первоначальным злоумышленником, и тестовый закрытый ключ помещен в файл .env.
После запуска вредоносного кода тестовый сервер успешно получил JSON-данные, содержащие информацию о Закрытом ключе.
![Solana экосистема вновь столкнулась с вредоносными Ботами: в профиле скрыта ловушка для утечки Закрытый ключ])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp###
Кроме того, обнаружено несколько репозиториев на GitHub, использующих аналогичные методы.
Итог
Злоумышленник, маскируясь под законный проект с открытым исходным кодом, вводит пользователей в заблуждение, заставляя их выполнять вредоносный код. Этот код считывает конфиденциальную информацию из локального .env файла и передает украденный Закрытый ключ на сервер, контролируемый злоумышленником.
Рекомендуется разработчикам и пользователям быть осторожными с проектами GitHub, происхождение которых неизвестно, особенно когда дело касается операций с кошельками или Закрытыми ключами. Если требуется отладка, она должна проводиться в независимой среде без конфиденциальных данных, избегая выполнения программ и команд, происхождение которых неизвестно.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
3
Репост
Поделиться
комментарий
0/400
SchrodingerProfit
· 08-11 04:45
Будда, снова получил удар в спину от sol.
Посмотреть ОригиналОтветить0
PaperHandSister
· 08-11 04:40
Украсть Закрытый ключ и придумать такой способ... мастера среди народа!
В экосистеме Solana выявлены скрытые риски кражи закрытых ключей, злонамеренные Боты маскируются под конфигурационные файлы для кражи активов.
В экосистеме Solana вновь появились злонамеренные Боты: риск утечки Закрытого ключа из-за скрытых конфигурационных файлов
Недавно пользователи стали жертвами кражи криптоактивов из-за использования открытого проекта под названием audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Команда безопасности провела глубокий анализ этого метода атаки.
Анализ процесса
Статический анализ
В файле конфигурации /src/common/config.rs обнаружен подозрительный код, в основном сосредоточенный в методе create_coingecko_proxy(). Этот метод сначала вызывает import_wallet() для получения Закрытый ключ, затем проверяет длину Закрытый ключ. Если длина Закрытый ключ больше 85, он преобразует его в объект Keypair и оборачивает в Arc.
Затем вредоносный код декодирует жестко закодированную константу HELIUS_PROXY, получая адрес сервера злоумышленника.
Метод create_coingecko_proxy() вызывается при запуске приложения, находится на этапе инициализации конфигурационного файла метода main() в main.rs. Этот метод также включает в себя нормальные функции, такие как получение цен, чтобы скрыть свои злонамеренные действия.
Проект был обновлён на GitHub 17 июля 2025 года, основные изменения сосредоточены в файле src/common/config.rs, оригинальное кодирование адреса HELIUS_PROXY было заменено на новое.
( Динамический анализ
Чтобы наглядно наблюдать за процессом кражи, исследователи написали скрипт на Python для генерации тестовых пар публичных и закрытых ключей Solana и настроили HTTP-сервер для приема POST-запросов. Адрес тестового сервера закодирован, заменяя закодированный адрес вредоносного сервера, установленного первоначальным злоумышленником, и тестовый закрытый ключ помещен в файл .env.
После запуска вредоносного кода тестовый сервер успешно получил JSON-данные, содержащие информацию о Закрытом ключе.
![Solana экосистема вновь столкнулась с вредоносными Ботами: в профиле скрыта ловушка для утечки Закрытый ключ])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp###
! Экологическое воспроизведение вредоносных ботов Solana: скрытые ловушки приватных ключей в конфигурационных файлах
Показатели вторжения ( IoCs )
Кроме того, обнаружено несколько репозиториев на GitHub, использующих аналогичные методы.
Итог
Злоумышленник, маскируясь под законный проект с открытым исходным кодом, вводит пользователей в заблуждение, заставляя их выполнять вредоносный код. Этот код считывает конфиденциальную информацию из локального .env файла и передает украденный Закрытый ключ на сервер, контролируемый злоумышленником.
Рекомендуется разработчикам и пользователям быть осторожными с проектами GitHub, происхождение которых неизвестно, особенно когда дело касается операций с кошельками или Закрытыми ключами. Если требуется отладка, она должна проводиться в независимой среде без конфиденциальных данных, избегая выполнения программ и команд, происхождение которых неизвестно.