В экосистеме Solana снова появились злонамеренные Боты: в конфигурационном файле скрыта ловушка для кражи Закрытого ключа
В начале июля 2025 года один пользователь обратился за помощью к команде безопасности, сообщив, что его криптоактивы были украдены. В ходе расследования выяснилось, что инцидент произошел из-за того, что пользователь использовал открытый проект, размещенный на одной из платформ с кодом, что привело к скрытому воровству токенов.
Недавно еще один пользователь стал жертвой кражи криптоактивов из-за использования подобного открытого проекта audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. В связи с этим команда безопасности провела глубокий анализ.
Процесс анализа
Статический анализ
С помощью статического анализа было обнаружено подозрительное код в файле конфигурации /src/common/config.rs, в основном сосредоточенное в методе create_coingecko_proxy(). Этот метод сначала вызывает import_wallet() для получения Закрытый ключ информации.
В методе import_env_var() основное назначение заключается в получении конфигурационной информации об переменных окружения из файла .env. Если переменная окружения отсутствует, происходит бесконечный цикл, что приводит к постоянному потреблению ресурсов.
Закрытый ключ и другая чувствительная информация хранятся в файле .env. После получения Закрытого ключа вредоносный код будет проверять длину Закрытого ключа: если она меньше 85, будет запущен бесконечный цикл; если больше 85, то он будет преобразован в объект Keypair.
Затем вредоносный код декодирует жестко закодированный URL-адрес и получает адрес сервера злоумышленника. Затем строится JSON-тело запроса, и информация о закрытом ключе отправляется на этот сервер, при этом игнорируется результат ответа.
Метод create_coingecko_proxy() вызывается при запуске приложения, находится на этапе инициализации конфигурационного файла. Название этого метода замаскировано и имеет определенную запутанность.
Анализ показывает, что IP-адрес сервера злоумышленника находится в США. В проекте недавно было обновление, основные изменения сосредоточены в конфигурационном файле, кодировка адреса сервера злоумышленника была заменена.
Динамический анализ
Для наглядного наблюдения за процессом кражи команда безопасности написала скрипт для генерации тестовых пар открытого и закрытого ключей и развернула HTTP-сервер для приема POST-запросов.
Замените кодировку адреса тестового сервера на исходную кодировку вредоносного адреса и вставьте тестовый закрытый ключ в файл .env. После запуска вредоносного кода можно увидеть, что тестовый сервер успешно получил JSON-данные, содержащие информацию о закрытом ключе.
Также обнаружено несколько репозиториев с похожими методами реализации.
Резюме
Атакующий маскируется под легитимный открытый проект, чтобы заставить пользователя выполнить вредоносный код. Этот проект считывает локальную конфиденциальную информацию и передает украденный Закрытый ключ на сервер атакующего. Такие атаки обычно сочетаются с техниками социального инжиниринга, и пользователи, проявившие малейшую неосторожность, могут попасть в ловушку.
Рекомендуется разработчикам и пользователям быть осторожными с проектами неизвестного происхождения, особенно когда речь идет о кошельках или закрытых ключах. Если необходимо отладить, это следует делать в независимой среде без конфиденциальных данных, избегая выполнения программ и команд неизвестного происхождения.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
5
Репост
Поделиться
комментарий
0/400
RamenDeFiSurvivor
· 20ч назад
Открытый исходный код проект еще осмелится тронуть? Сам себе проблемы.
Посмотреть ОригиналОтветить0
ChainPoet
· 08-09 06:14
Еще используете открытый исходный код проекты? Проснитесь
Посмотреть ОригиналОтветить0
rugdoc.eth
· 08-09 06:11
Каждый раз, прежде чем вносить изменения в код, посмотрите на него десять раз.
Посмотреть ОригиналОтветить0
MonkeySeeMonkeyDo
· 08-09 06:02
Настоящий мастер, а!
Посмотреть ОригиналОтветить0
FUD_Whisperer
· 08-09 05:52
Бояться чего? Я специально использую альткоин Открытый исходный код инструменты.
В экосистеме Solana обнаружены новые боты для кражи закрытых ключей. Будьте осторожны, открытый исходный код может скрывать опасности.
В экосистеме Solana снова появились злонамеренные Боты: в конфигурационном файле скрыта ловушка для кражи Закрытого ключа
В начале июля 2025 года один пользователь обратился за помощью к команде безопасности, сообщив, что его криптоактивы были украдены. В ходе расследования выяснилось, что инцидент произошел из-за того, что пользователь использовал открытый проект, размещенный на одной из платформ с кодом, что привело к скрытому воровству токенов.
Недавно еще один пользователь стал жертвой кражи криптоактивов из-за использования подобного открытого проекта audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. В связи с этим команда безопасности провела глубокий анализ.
Процесс анализа
Статический анализ
С помощью статического анализа было обнаружено подозрительное код в файле конфигурации /src/common/config.rs, в основном сосредоточенное в методе create_coingecko_proxy(). Этот метод сначала вызывает import_wallet() для получения Закрытый ключ информации.
В методе import_env_var() основное назначение заключается в получении конфигурационной информации об переменных окружения из файла .env. Если переменная окружения отсутствует, происходит бесконечный цикл, что приводит к постоянному потреблению ресурсов.
Закрытый ключ и другая чувствительная информация хранятся в файле .env. После получения Закрытого ключа вредоносный код будет проверять длину Закрытого ключа: если она меньше 85, будет запущен бесконечный цикл; если больше 85, то он будет преобразован в объект Keypair.
Затем вредоносный код декодирует жестко закодированный URL-адрес и получает адрес сервера злоумышленника. Затем строится JSON-тело запроса, и информация о закрытом ключе отправляется на этот сервер, при этом игнорируется результат ответа.
Метод create_coingecko_proxy() вызывается при запуске приложения, находится на этапе инициализации конфигурационного файла. Название этого метода замаскировано и имеет определенную запутанность.
Анализ показывает, что IP-адрес сервера злоумышленника находится в США. В проекте недавно было обновление, основные изменения сосредоточены в конфигурационном файле, кодировка адреса сервера злоумышленника была заменена.
Динамический анализ
Для наглядного наблюдения за процессом кражи команда безопасности написала скрипт для генерации тестовых пар открытого и закрытого ключей и развернула HTTP-сервер для приема POST-запросов.
Замените кодировку адреса тестового сервера на исходную кодировку вредоносного адреса и вставьте тестовый закрытый ключ в файл .env. После запуска вредоносного кода можно увидеть, что тестовый сервер успешно получил JSON-данные, содержащие информацию о закрытом ключе.
Показатели вторжения
Также обнаружено несколько репозиториев с похожими методами реализации.
Резюме
Атакующий маскируется под легитимный открытый проект, чтобы заставить пользователя выполнить вредоносный код. Этот проект считывает локальную конфиденциальную информацию и передает украденный Закрытый ключ на сервер атакующего. Такие атаки обычно сочетаются с техниками социального инжиниринга, и пользователи, проявившие малейшую неосторожность, могут попасть в ловушку.
Рекомендуется разработчикам и пользователям быть осторожными с проектами неизвестного происхождения, особенно когда речь идет о кошельках или закрытых ключах. Если необходимо отладить, это следует делать в независимой среде без конфиденциальных данных, избегая выполнения программ и команд неизвестного происхождения.