В екосистемі Solana знову з'явилися злі боти: ризик витоку закритого ключа через приховані профілі
Нещодавно деякі користувачі стали жертвами крадіжки криптоактивів через використання відкритого проєкту під назвою audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Команда з безпеки провела детальний аналіз цього методу атаки.
Аналіз процесу
Статичний аналіз
У файлі конфігурації /src/common/config.rs виявлено підозрілий код, що переважно зосереджений у методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ, а потім перевіряє довжину Закритий ключ. Якщо довжина Закритий ключ перевищує 85, то вона перетворюється на об'єкт Keypair і обгортається в Arc.
Потім шкідливий код декодує заздалегідь задану константу HELIUS_PROXY, отримуючи адресу сервера зловмисника.
метод create_coingecko_proxy() викликається під час запуску програми, знаходиться на етапі ініціалізації конфігураційного файлу методу main() у main.rs. Цей метод також містить нормальні функції, такі як отримання ціни, щоб замаскувати свою шкідливу активність.
Цей проект нещодавно оновлено на GitHub (2025 року 17 липня ), основні зміни зосереджені у файлі src/common/config.rs, де початковий код адреси HELIUS_PROXY було замінено на новий код.
Динамічний аналіз
Для наочного спостереження за процесом крадіжки, дослідники написали Python-скрипт для генерації тестових пар відкритих та закритих ключів Solana, а також створили HTTP-сервер для прийому POST-запитів. Адресу тестового сервера закодували, замінивши її на закодовану адресу шкідливого сервера, налаштованого злочинцем, і заповнили тестовий закритий ключ у файлі .env.
Після запуску шкідливого коду тестовий сервер успішно отримав JSON-дані, що містять інформацію про закритий ключ.
Вхідні показники(IoCs)
ІР: 103.35.189.28
Доменне ім'я: storebackend-qpq3.onrender.com
Зловмисний репозиторій:
Крім того, було виявлено кілька репозиторіїв GitHub, які використовують подібні методи.
Підсумок
Зловмисники, маскуючись під легальні відкриті проекти, спонукають користувачів виконувати шкідливий код. Цей код зчитує чутливу інформацію з локального файлу .env і передає вкрадений Закритий ключ на сервер, контрольований зловмисником.
Рекомендується розробникам і користувачам бути обережними з невідомими проектами на GitHub, особливо коли йдеться про операції з гаманцями або закритими ключами. Якщо потрібно налагодження, слід виконувати його в ізольованому середовищі без чутливих даних, уникати виконання невідомих програм і команд.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
3
Репост
Поділіться
Прокоментувати
0/400
SchrodingerProfit
· 08-11 04:45
Фудо, знову отримав удар у спину від sol.
Переглянути оригіналвідповісти на0
PaperHandSister
· 08-11 04:40
Вкрасти закритий ключ і придумати такий хід... майстри серед людей!
В екосистемі Solana виявлено прихований ризик викрадення закритих ключів: зловмисні боти маскуються під конфігураційні файли для крадіжки активів.
В екосистемі Solana знову з'явилися злі боти: ризик витоку закритого ключа через приховані профілі
Нещодавно деякі користувачі стали жертвами крадіжки криптоактивів через використання відкритого проєкту під назвою audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Команда з безпеки провела детальний аналіз цього методу атаки.
Аналіз процесу
Статичний аналіз
У файлі конфігурації /src/common/config.rs виявлено підозрілий код, що переважно зосереджений у методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ, а потім перевіряє довжину Закритий ключ. Якщо довжина Закритий ключ перевищує 85, то вона перетворюється на об'єкт Keypair і обгортається в Arc.
Потім шкідливий код декодує заздалегідь задану константу HELIUS_PROXY, отримуючи адресу сервера зловмисника.
метод create_coingecko_proxy() викликається під час запуску програми, знаходиться на етапі ініціалізації конфігураційного файлу методу main() у main.rs. Цей метод також містить нормальні функції, такі як отримання ціни, щоб замаскувати свою шкідливу активність.
Цей проект нещодавно оновлено на GitHub (2025 року 17 липня ), основні зміни зосереджені у файлі src/common/config.rs, де початковий код адреси HELIUS_PROXY було замінено на новий код.
Динамічний аналіз
Для наочного спостереження за процесом крадіжки, дослідники написали Python-скрипт для генерації тестових пар відкритих та закритих ключів Solana, а також створили HTTP-сервер для прийому POST-запитів. Адресу тестового сервера закодували, замінивши її на закодовану адресу шкідливого сервера, налаштованого злочинцем, і заповнили тестовий закритий ключ у файлі .env.
Після запуску шкідливого коду тестовий сервер успішно отримав JSON-дані, що містять інформацію про закритий ключ.
Вхідні показники(IoCs)
Крім того, було виявлено кілька репозиторіїв GitHub, які використовують подібні методи.
Підсумок
Зловмисники, маскуючись під легальні відкриті проекти, спонукають користувачів виконувати шкідливий код. Цей код зчитує чутливу інформацію з локального файлу .env і передає вкрадений Закритий ключ на сервер, контрольований зловмисником.
Рекомендується розробникам і користувачам бути обережними з невідомими проектами на GitHub, особливо коли йдеться про операції з гаманцями або закритими ключами. Якщо потрібно налагодження, слід виконувати його в ізольованому середовищі без чутливих даних, уникати виконання невідомих програм і команд.