Hệ sinh thái Solana lại xuất hiện Bots độc hại: Rủi ro rò rỉ khóa riêng trong cấu hình
Gần đây, có người dùng vì sử dụng một dự án mã nguồn mở có tên audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot, dẫn đến việc tài sản tiền điện tử bị đánh cắp. Đội ngũ an ninh đã tiến hành phân tích sâu về phương pháp tấn công này.
Phân tích quá trình
Phân tích tĩnh
Trong tệp cấu hình /src/common/config.rs phát hiện mã đáng ngờ, chủ yếu tập trung trong phương thức create_coingecko_proxy(). Phương thức này trước tiên gọi import_wallet() để lấy Khóa riêng, sau đó kiểm tra độ dài của Khóa riêng. Nếu độ dài Khóa riêng lớn hơn 85, thì nó sẽ chuyển đổi thành đối tượng Keypair và được bao bọc bằng Arc.
Sau đó, mã độc đã giải mã một hằng số được mã hóa cứng HELIUS_PROXY để lấy địa chỉ máy chủ của kẻ tấn công.
create_coingecko_proxy() được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình của phương thức main() trong main.rs. Phương thức này cũng bao gồm các chức năng bình thường như lấy giá, để che giấu hành vi độc hại của nó.
Dự án này đã được cập nhật gần đây trên GitHub vào ngày 17 tháng 7 năm 2025, với số (. Các thay đổi chính tập trung vào tệp src/common/config.rs, trong đó mã nguồn gốc của HELIUS_PROXY đã được thay thế bằng mã mới.
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Hệ sinh thái Solana lại xuất hiện robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Hồ sơ chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Hệ sinh thái Solana tái xuất robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy tiết lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Hệ sinh thái Solana tái xuất Bots độc hại: Hồ sơ chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Hệ sinh thái Solana lại xuất hiện các Bots ác ý: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
) Phân tích động
Để quan sát trực quan quá trình đánh cắp, các nhà nghiên cứu đã viết một kịch bản Python để tạo cặp khóa công khai và riêng cho Solana dùng thử, và thiết lập một máy chủ HTTP để nhận các yêu cầu POST. Địa chỉ máy chủ thử nghiệm được mã hóa thay thế cho địa chỉ máy chủ độc hại mà kẻ tấn công đã thiết lập, và khóa riêng thử nghiệm được điền vào tệp .env.
Sau khi khởi động mã độc, máy chủ thử nghiệm đã nhận thành công dữ liệu JSON chứa thông tin khóa riêng.
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ chứa bẫy truyền ra Khóa riêng]###https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Hệ sinh thái Solana tái xuất Bots độc hại: Hồ sơ ẩn chứa cạm bẫy tiết lộ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Hệ sinh thái Solana tái xuất robot độc hại: Hồ sơ ẩn chứa bẫy để lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa cạm bẫy truyền tải Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
Chỉ số xâm nhập ) IoCs (
IP: 103.35.189.28
Tên miền: storebackend-qpq3.onrender.com
Kho chứa độc hại:
Ngoài ra còn phát hiện nhiều kho GitHub sử dụng thủ đoạn tương tự.
![Hệ sinh thái Solana lại xuất hiện Bots ác ý: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![Hệ sinh thái Solana tái hiện Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ chứa đựng bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![Hệ sinh thái Solana tái xuất Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Tóm tắt
Kẻ tấn công đã giả mạo thành một dự án mã nguồn mở hợp pháp, lừa người dùng thực thi mã độc. Mã này sẽ đọc thông tin nhạy cảm trong tệp .env cục bộ và truyền khóa riêng bị đánh cắp đến máy chủ do kẻ tấn công kiểm soát.
Khuyến nghị các nhà phát triển và người dùng cần cảnh giác với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc Khóa riêng. Nếu cần gỡ lỗi, nên thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm, tránh thực thi các chương trình và lệnh không rõ nguồn gốc.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
15 thích
Phần thưởng
15
4
Đăng lại
Chia sẻ
Bình luận
0/400
TokenBeginner'sGuide
· 15giờ trước
Nhắc nhở: Khóa riêng bị lộ = Ví tiền bị xóa sạch, tuyệt đối không mở mã nguồn không rõ nguồn gốc!
Xem bản gốcTrả lời0
SchrodingerProfit
· 08-11 04:45
Phật rồi, lại bị sol đâm sau một nhát.
Xem bản gốcTrả lời0
PaperHandSister
· 08-11 04:40
Trộm khóa riêng cũng có thể nghĩ ra chiêu này... Cao thủ ở dân gian thật!
Rủi ro lừa đảo khóa riêng trong hệ sinh thái Solana, Bots ác ý giả mạo hồ sơ để đánh cắp tài sản
Hệ sinh thái Solana lại xuất hiện Bots độc hại: Rủi ro rò rỉ khóa riêng trong cấu hình
Gần đây, có người dùng vì sử dụng một dự án mã nguồn mở có tên audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot, dẫn đến việc tài sản tiền điện tử bị đánh cắp. Đội ngũ an ninh đã tiến hành phân tích sâu về phương pháp tấn công này.
Phân tích quá trình
Phân tích tĩnh
Trong tệp cấu hình /src/common/config.rs phát hiện mã đáng ngờ, chủ yếu tập trung trong phương thức create_coingecko_proxy(). Phương thức này trước tiên gọi import_wallet() để lấy Khóa riêng, sau đó kiểm tra độ dài của Khóa riêng. Nếu độ dài Khóa riêng lớn hơn 85, thì nó sẽ chuyển đổi thành đối tượng Keypair và được bao bọc bằng Arc.
Sau đó, mã độc đã giải mã một hằng số được mã hóa cứng HELIUS_PROXY để lấy địa chỉ máy chủ của kẻ tấn công.
create_coingecko_proxy() được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình của phương thức main() trong main.rs. Phương thức này cũng bao gồm các chức năng bình thường như lấy giá, để che giấu hành vi độc hại của nó.
Dự án này đã được cập nhật gần đây trên GitHub vào ngày 17 tháng 7 năm 2025, với số (. Các thay đổi chính tập trung vào tệp src/common/config.rs, trong đó mã nguồn gốc của HELIUS_PROXY đã được thay thế bằng mã mới.
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Hệ sinh thái Solana lại xuất hiện robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Hồ sơ chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Hệ sinh thái Solana tái xuất robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy tiết lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Hệ sinh thái Solana tái xuất Bots độc hại: Hồ sơ chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Hệ sinh thái Solana lại xuất hiện các Bots ác ý: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
) Phân tích động
Để quan sát trực quan quá trình đánh cắp, các nhà nghiên cứu đã viết một kịch bản Python để tạo cặp khóa công khai và riêng cho Solana dùng thử, và thiết lập một máy chủ HTTP để nhận các yêu cầu POST. Địa chỉ máy chủ thử nghiệm được mã hóa thay thế cho địa chỉ máy chủ độc hại mà kẻ tấn công đã thiết lập, và khóa riêng thử nghiệm được điền vào tệp .env.
Sau khi khởi động mã độc, máy chủ thử nghiệm đã nhận thành công dữ liệu JSON chứa thông tin khóa riêng.
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ chứa bẫy truyền ra Khóa riêng]###https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Hệ sinh thái Solana tái xuất Bots độc hại: Hồ sơ ẩn chứa cạm bẫy tiết lộ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Hệ sinh thái Solana tái xuất robot độc hại: Hồ sơ ẩn chứa bẫy để lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa cạm bẫy truyền tải Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
Chỉ số xâm nhập ) IoCs (
Ngoài ra còn phát hiện nhiều kho GitHub sử dụng thủ đoạn tương tự.
![Hệ sinh thái Solana lại xuất hiện Bots ác ý: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![Hệ sinh thái Solana tái hiện Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ chứa đựng bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![Hệ sinh thái Solana tái xuất Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Tóm tắt
Kẻ tấn công đã giả mạo thành một dự án mã nguồn mở hợp pháp, lừa người dùng thực thi mã độc. Mã này sẽ đọc thông tin nhạy cảm trong tệp .env cục bộ và truyền khóa riêng bị đánh cắp đến máy chủ do kẻ tấn công kiểm soát.
Khuyến nghị các nhà phát triển và người dùng cần cảnh giác với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc Khóa riêng. Nếu cần gỡ lỗi, nên thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm, tránh thực thi các chương trình và lệnh không rõ nguồn gốc.