Solana ekosisteminde kötü niyetli Botlar tekrar ortaya çıktı: Konfigürasyon dosyası Özel Anahtar sızıntı riski taşıyor
Son zamanlarda, kullanıcıların audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot adlı açık kaynak projesini kullanmaları nedeniyle kripto varlıklarının çalındığı bildirildi. Güvenlik ekibi bu saldırı yöntemini derinlemesine analiz etti.
Analiz Süreci
Statik Analiz
/src/common/config.rs yapılandırma dosyasında şüpheli kodlar bulundu, bunlar ağırlıklı olarak create_coingecko_proxy() yönteminde yoğunlaşmaktadır. Bu yöntem öncelikle import_wallet() çağrısını yaparak Özel Anahtar'ı alır ve ardından Özel Anahtar'ın uzunluğunu kontrol eder. Eğer Özel Anahtar'ın uzunluğu 85'ten büyükse, bu durumda onu Keypair nesnesine dönüştürür ve Arc ile sarar.
Sonrasında, kötü niyetli kod bir sabit HEILIUS_PROXY'yi çözerek saldırganın sunucu adresini elde etti.
create_coingecko_proxy() yöntemi uygulama başlatıldığında çağrılır, main.rs içindeki main() yönteminin yapılandırma dosyası başlatma aşamasındadır. Bu yöntem ayrıca fiyat alma gibi normal işlevler içerir, kötü niyetli davranışlarını örtbas etmek için.
Proje, GitHub'da son güncellemeyi (2025 yılı 17 Temmuz'da ) gerçekleştirdi. Ana değişiklikler src/common/config.rs dosyasında yer almakta olup, HELIUS_PROXY'nin eski adres kodlaması yeni kodlama ile değiştirilmiştir.
Dinamik Analiz
Hırsızlık sürecini gözlemlemek için araştırmacılar, test amaçlı Solana açık-özel anahtar çiftleri oluşturmak için bir Python betiği yazdı ve POST isteklerini almak için bir HTTP sunucusu kurdu. Test sunucusu adres kodunu, saldırganın ayarladığı kötü niyetli sunucu adres koduyla değiştirdi ve test özel anahtarını .env dosyasına doldurdu.
Kötü niyetli kod çalıştırıldıktan sonra, test sunucusu özel anahtar bilgilerini içeren JSON verisini başarıyla aldı.
İstila Göstergeleri ( IoCs )
IP: 103.35.189.28
Alan Adı: storebackend-qpq3.onrender.com
Kötü Niyetli Depo:
Ayrıca benzer yöntemler kullanan birçok GitHub deposu bulundu.
Özet
Saldırganlar, meşru açık kaynak projeleri gibi davranarak kullanıcıları kötü niyetli kodları çalıştırmaya ikna eder. Bu kod, yerel .env dosyasındaki hassas bilgileri okur ve çalınan özel anahtarları saldırganın kontrolündeki sunucuya iletir.
Geliştiricilerin, özellikle cüzdan veya Özel Anahtar işlemleri ile ilgili olduğunda, kaynağı belirsiz GitHub projelerine karşı dikkatli olmaları önerilir. Hata ayıklamak gerekiyorsa, bağımsız ve hassas veri içermeyen bir ortamda yapılmalıdır, kaynağı belirsiz programları ve komutları çalıştırmaktan kaçınılmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
3
Repost
Share
Comment
0/400
SchrodingerProfit
· 08-11 04:45
Buddha oldu, yine sol tarafından sırtımdan bıçaklandım.
View OriginalReply0
PaperHandSister
· 08-11 04:40
Özel Anahtar çalmak için bu numarayı da bulmuşlar... Usta insanlar halk arasında.
Solana ekosisteminde gizli özel anahtar hırsızlığı riski ortaya çıktı, kötü niyetli botlar yapılandırma dosyalarını taklit ederek varlıkları çalıyor.
Solana ekosisteminde kötü niyetli Botlar tekrar ortaya çıktı: Konfigürasyon dosyası Özel Anahtar sızıntı riski taşıyor
Son zamanlarda, kullanıcıların audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot adlı açık kaynak projesini kullanmaları nedeniyle kripto varlıklarının çalındığı bildirildi. Güvenlik ekibi bu saldırı yöntemini derinlemesine analiz etti.
Analiz Süreci
Statik Analiz
/src/common/config.rs yapılandırma dosyasında şüpheli kodlar bulundu, bunlar ağırlıklı olarak create_coingecko_proxy() yönteminde yoğunlaşmaktadır. Bu yöntem öncelikle import_wallet() çağrısını yaparak Özel Anahtar'ı alır ve ardından Özel Anahtar'ın uzunluğunu kontrol eder. Eğer Özel Anahtar'ın uzunluğu 85'ten büyükse, bu durumda onu Keypair nesnesine dönüştürür ve Arc ile sarar.
Sonrasında, kötü niyetli kod bir sabit HEILIUS_PROXY'yi çözerek saldırganın sunucu adresini elde etti.
create_coingecko_proxy() yöntemi uygulama başlatıldığında çağrılır, main.rs içindeki main() yönteminin yapılandırma dosyası başlatma aşamasındadır. Bu yöntem ayrıca fiyat alma gibi normal işlevler içerir, kötü niyetli davranışlarını örtbas etmek için.
Proje, GitHub'da son güncellemeyi (2025 yılı 17 Temmuz'da ) gerçekleştirdi. Ana değişiklikler src/common/config.rs dosyasında yer almakta olup, HELIUS_PROXY'nin eski adres kodlaması yeni kodlama ile değiştirilmiştir.
Dinamik Analiz
Hırsızlık sürecini gözlemlemek için araştırmacılar, test amaçlı Solana açık-özel anahtar çiftleri oluşturmak için bir Python betiği yazdı ve POST isteklerini almak için bir HTTP sunucusu kurdu. Test sunucusu adres kodunu, saldırganın ayarladığı kötü niyetli sunucu adres koduyla değiştirdi ve test özel anahtarını .env dosyasına doldurdu.
Kötü niyetli kod çalıştırıldıktan sonra, test sunucusu özel anahtar bilgilerini içeren JSON verisini başarıyla aldı.
İstila Göstergeleri ( IoCs )
Ayrıca benzer yöntemler kullanan birçok GitHub deposu bulundu.
Özet
Saldırganlar, meşru açık kaynak projeleri gibi davranarak kullanıcıları kötü niyetli kodları çalıştırmaya ikna eder. Bu kod, yerel .env dosyasındaki hassas bilgileri okur ve çalınan özel anahtarları saldırganın kontrolündeki sunucuya iletir.
Geliştiricilerin, özellikle cüzdan veya Özel Anahtar işlemleri ile ilgili olduğunda, kaynağı belirsiz GitHub projelerine karşı dikkatli olmaları önerilir. Hata ayıklamak gerekiyorsa, bağımsız ve hassas veri içermeyen bir ortamda yapılmalıdır, kaynağı belirsiz programları ve komutları çalıştırmaktan kaçınılmalıdır.