Solana ekosisteminde bir kötü niyetli bot daha: Konfigürasyon dosyasında özel anahtar çalma tuzağı gizli
2025 yılının Temmuz başında, bir kullanıcı güvenlik ekibine yardım talebinde bulundu ve kripto varlıklarının çalındığını bildirdi. Araştırma sonucunda, olayın bu kullanıcının belirli bir kod platformunda barındırılan bir açık kaynak projesini kullanmasından kaynaklandığı ve bu durumun gizli bir hırsızlık eylemini tetiklediği ortaya çıktı.
Son zamanlarda, kullanıcılar audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot gibi benzer açık kaynak projeleri kullanarak kripto varlıklarının çalınmasıyla karşılaştılar. Bu konuda, güvenlik ekibi derinlemesine bir analiz yaptı.
Analiz Süreci
Statik Analiz
Statik analiz ile şüpheli kodun /src/common/config.rs yapılandırma dosyasında yer aldığı ve esasen create_coingecko_proxy() yönteminde yoğunlaştığı tespit edildi. Bu yöntem önce import_wallet() ile özel anahtar bilgilerini alır.
import_env_var() yönteminde, .env dosyasındaki ortam değişkeni yapılandırma bilgilerini almak için kullanılır. Eğer ortam değişkeni mevcut değilse, sonsuz bir döngüye girer ve kaynakların sürekli tüketilmesine neden olur.
Özel Anahtar gibi hassas bilgiler .env dosyasında saklanır. Özel anahtarı aldıktan sonra, kötü niyetli kod özel anahtarın uzunluğunu kontrol eder: 85'ten küçükse sonsuz döngüye girer; 85'ten büyükse, Keypair nesnesine dönüştürür.
Ardından, kötü niyetli kod, hardcoded URL adresini çözerek saldırganın sunucu adresini elde eder. Daha sonra JSON istek gövdesi oluşturur, özel anahtar bilgilerini bu sunucuya gönderir ve yanıt sonucunu göz ardı eder.
create_coingecko_proxy() yöntemi uygulama başlatıldığında çağrılır, yapılandırma dosyası başlatma aşamasında yer alır. Bu yöntem adı kamufle edilmiştir ve belirli bir yanıltıcılığa sahiptir.
Analiz sonucunda, saldırganın sunucu IP'sinin Amerika'da bulunduğu tespit edilmiştir. Proje son zamanlarda güncellenmiş olup, yapılan ana değişiklikler yapılandırma dosyasında yoğunlaşmıştır, saldırgan sunucu adresinin kodlaması değiştirilmiştir.
Dinamik Analiz
Hırsızlık sürecini gözlemlemek için, güvenlik ekibi test amaçlı açık ve özel anahtar çiftleri oluşturmak üzere bir betik yazdı ve POST isteklerini kabul eden bir HTTP sunucusu kurdu.
Test sunucusu adres kodlamasını orijinal kötü niyetli adres kodlaması ile değiştirin ve test Özel Anahtarını .env dosyasına ekleyin. Kötü niyetli kodu başlattıktan sonra, test sunucusunun Özel Anahtar bilgilerini içeren JSON verisini başarıyla aldığını görebilirsiniz.
İstila Göstergeleri
IP: 103.35.189.28
Alan adı: storebackend-qpq3.onrender.com
Kötü Niyetli Depo: audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot
Ayrıca benzer uygulama yöntemlerine sahip birçok depo bulundu.
Özet
Saldırganlar, meşru açık kaynak projelerine bürünerek kullanıcıları kötü niyetli kod çalıştırmaya teşvik ediyor. Proje, yerel hassas bilgileri okur ve çalınan özel anahtarları saldırganın sunucusuna iletir. Bu tür saldırılar genellikle sosyal mühendislik teknikleriyle birleştirilir; kullanıcılar en küçük bir dikkatsizlikte bile tuzağa düşebilir.
Geliştiricilerin, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda, kaynağı belirsiz projelere karşı dikkatli olmaları önerilir. Hata ayıklama gerekiyorsa, bağımsız ve hassas veri içermeyen bir ortamda yapılmalı, kaynağı belirsiz programlar ve komutlar çalıştırmaktan kaçınılmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
7 Likes
Reward
7
5
Repost
Share
Comment
0/400
RamenDeFiSurvivor
· 4h ago
Açık Kaynak proje ile oynamaya cesaret mi ediyorsun? Kendin arıyorsun.
View OriginalReply0
ChainPoet
· 9h ago
Hâlâ Açık Kaynak projeleri mi kullanıyorsun? Uyan!
View OriginalReply0
rugdoc.eth
· 9h ago
Her seferinde kodu ayarlamadan önce on kez bak.
View OriginalReply0
MonkeySeeMonkeyDo
· 10h ago
Gerçekten bir zanaatkar var, harika
View OriginalReply0
FUD_Whisperer
· 10h ago
Korkma, ben tam olarak altcoin Açık Kaynak araçları kullanıyorum.
Solana ekosisteminde yeni bir özel anahtar çalma botu ortaya çıktı, açık kaynak projelerin gizli tehlikelerine dikkat edin.
Solana ekosisteminde bir kötü niyetli bot daha: Konfigürasyon dosyasında özel anahtar çalma tuzağı gizli
2025 yılının Temmuz başında, bir kullanıcı güvenlik ekibine yardım talebinde bulundu ve kripto varlıklarının çalındığını bildirdi. Araştırma sonucunda, olayın bu kullanıcının belirli bir kod platformunda barındırılan bir açık kaynak projesini kullanmasından kaynaklandığı ve bu durumun gizli bir hırsızlık eylemini tetiklediği ortaya çıktı.
Son zamanlarda, kullanıcılar audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot gibi benzer açık kaynak projeleri kullanarak kripto varlıklarının çalınmasıyla karşılaştılar. Bu konuda, güvenlik ekibi derinlemesine bir analiz yaptı.
Analiz Süreci
Statik Analiz
Statik analiz ile şüpheli kodun /src/common/config.rs yapılandırma dosyasında yer aldığı ve esasen create_coingecko_proxy() yönteminde yoğunlaştığı tespit edildi. Bu yöntem önce import_wallet() ile özel anahtar bilgilerini alır.
import_env_var() yönteminde, .env dosyasındaki ortam değişkeni yapılandırma bilgilerini almak için kullanılır. Eğer ortam değişkeni mevcut değilse, sonsuz bir döngüye girer ve kaynakların sürekli tüketilmesine neden olur.
Özel Anahtar gibi hassas bilgiler .env dosyasında saklanır. Özel anahtarı aldıktan sonra, kötü niyetli kod özel anahtarın uzunluğunu kontrol eder: 85'ten küçükse sonsuz döngüye girer; 85'ten büyükse, Keypair nesnesine dönüştürür.
Ardından, kötü niyetli kod, hardcoded URL adresini çözerek saldırganın sunucu adresini elde eder. Daha sonra JSON istek gövdesi oluşturur, özel anahtar bilgilerini bu sunucuya gönderir ve yanıt sonucunu göz ardı eder.
create_coingecko_proxy() yöntemi uygulama başlatıldığında çağrılır, yapılandırma dosyası başlatma aşamasında yer alır. Bu yöntem adı kamufle edilmiştir ve belirli bir yanıltıcılığa sahiptir.
Analiz sonucunda, saldırganın sunucu IP'sinin Amerika'da bulunduğu tespit edilmiştir. Proje son zamanlarda güncellenmiş olup, yapılan ana değişiklikler yapılandırma dosyasında yoğunlaşmıştır, saldırgan sunucu adresinin kodlaması değiştirilmiştir.
Dinamik Analiz
Hırsızlık sürecini gözlemlemek için, güvenlik ekibi test amaçlı açık ve özel anahtar çiftleri oluşturmak üzere bir betik yazdı ve POST isteklerini kabul eden bir HTTP sunucusu kurdu.
Test sunucusu adres kodlamasını orijinal kötü niyetli adres kodlaması ile değiştirin ve test Özel Anahtarını .env dosyasına ekleyin. Kötü niyetli kodu başlattıktan sonra, test sunucusunun Özel Anahtar bilgilerini içeren JSON verisini başarıyla aldığını görebilirsiniz.
İstila Göstergeleri
Ayrıca benzer uygulama yöntemlerine sahip birçok depo bulundu.
Özet
Saldırganlar, meşru açık kaynak projelerine bürünerek kullanıcıları kötü niyetli kod çalıştırmaya teşvik ediyor. Proje, yerel hassas bilgileri okur ve çalınan özel anahtarları saldırganın sunucusuna iletir. Bu tür saldırılar genellikle sosyal mühendislik teknikleriyle birleştirilir; kullanıcılar en küçük bir dikkatsizlikte bile tuzağa düşebilir.
Geliştiricilerin, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda, kaynağı belirsiz projelere karşı dikkatli olmaları önerilir. Hata ayıklama gerekiyorsa, bağımsız ve hassas veri içermeyen bir ortamda yapılmalı, kaynağı belirsiz programlar ve komutlar çalıştırmaktan kaçınılmalıdır.