Solana生態再現惡意機器人：配置文件隱藏私鑰泄露風險

近期，有用戶因使用名爲audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot的開源項目，導致加密資產被盜。安全團隊對此攻擊手法進行了深入分析。

分析過程

靜態分析

在/src/common/config.rs配置文件中發現可疑代碼，主要集中在create_coingecko_proxy()方法內。該方法首先調用import_wallet()獲取私鑰，然後對私鑰長度進行判斷。如果私鑰長度大於85，則將其轉換爲Keypair對象並用Arc封裝。

隨後，惡意代碼對一個硬編碼常量HELIUS_PROXY進行解碼，得到攻擊者服務器地址

create_coingecko_proxy()方法在應用啓動時被調用，位於main.rs中main()方法的配置文件初始化階段。該方法還包含獲取價格等正常功能，用以掩蓋其惡意行爲。

該項目在GitHub上近期(2025年7月17日)進行了更新，主要更改集中在src/common/config.rs文件中，HELIUS_PROXY的原地址編碼被替換爲新的編碼。

動態分析

爲直觀觀察盜竊過程，研究人員編寫Python腳本生成測試用的Solana公私鑰對，並搭建接收POST請求的HTTP服務器。將測試服務器地址編碼替換原攻擊者設置的惡意服務器地址編碼，並將測試私鑰填入.env文件。

啓動惡意代碼後，測試服務器成功接收到包含私鑰信息的JSON數據。

入侵指標(IoCs)

• IP: 103.35.189.28
• 域名: storebackend-qpq3.onrender.com
• 惡意倉庫:

此外還發現多個使用類似手法的GitHub倉庫。

總結

攻擊者通過僞裝成合法開源項目，誘導用戶執行惡意代碼。該代碼會讀取本地.env文件中的敏感信息，並將盜取的私鑰傳輸至攻擊者控制的服務器。

建議開發者與用戶對來源不明的GitHub項目保持警惕，尤其涉及錢包或私鑰操作時。如需調試，應在獨立且無敏感數據的環境中進行，避免執行來源不明的程序和命令。