Les Bots malveillants réapparaissent dans l'écosystème Solana : des fichiers de configuration cachent des pièges de transmission de Clé privée
Début juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés. L'enquête a révélé que l'incident provenait de l'utilisation par cet utilisateur d'un projet open source sur GitHub nommé solana-pumpfun-bot, déclenchant ainsi des comportements cachés de vol de pièces.
Récemment, d'autres utilisateurs ont perdu des actifs en utilisant des projets open source similaires comme audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. L'équipe de sécurité a effectué une analyse approfondie.
Processus d'analyse
Analyse statique
L'analyse a révélé que le code suspect se trouve dans le fichier de configuration /src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet() pour obtenir la Clé privée, puis vérifie la longueur de la Clé privée :
Si la longueur est inférieure à 85, imprimez un message d'erreur et entrez dans une boucle infinie
Si la longueur est supérieure à 85, convertissez la clé privée en objet Keypair et encapsulez.
Ensuite, le code malveillant décode l'adresse du serveur de l'attaquant et construit un corps de requête JSON pour envoyer la clé privée à cette adresse. En même temps, cette méthode comprend également des fonctionnalités normales telles que l'obtention des prix pour dissimuler ses comportements malveillants.
La méthode create_coingecko_proxy() est appelée lors du démarrage de l'application, située dans la phase d'initialisation du fichier de configuration de la méthode main() dans main.rs.
L'IP du serveur de l'attaquant est situé aux États-Unis. Le projet a récemment été mis à jour sur GitHub, principalement pour modifier le codage de l'adresse du serveur dans config.rs.
Analyse dynamique
Pour observer visuellement le processus de vol, nous avons écrit un script pour générer des paires de clés de test et mis en place un serveur pour recevoir des requêtes POST. Remplacez l'adresse malveillante par l'adresse du serveur de test encodée et mettez à jour la clé privée dans le fichier .env.
Après le lancement du code malveillant, le serveur de test a réussi à recevoir des données JSON contenant la Clé privée.
Indicateurs d'intrusion
IP : 103.35.189.28
Nom de domaine : storebackend-qpq3.onrender.com
Dépôt malveillant:
Résumé
Les attaquants se déguisent en projets open source légitimes pour inciter les utilisateurs à exécuter du code malveillant. Le projet lit des informations sensibles dans le fichier .env local et transmet la clé privée volée au serveur de l'attaquant.
Il est conseillé aux développeurs de rester vigilants face aux projets GitHub d'origine inconnue, surtout lorsqu'il s'agit d'opérations liées aux portefeuilles ou aux Clés privées. Si vous devez exécuter ou déboguer, cela doit être fait dans un environnement isolé et sans données sensibles, en évitant d'exécuter des programmes et des commandes d'origine inconnue.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
6
Partager
Commentaire
0/400
MysteryBoxBuster
· Il y a 5h
Tss tss tss, revoilà le piège.
Voir l'originalRépondre0
gas_fee_therapist
· Il y a 5h
Il est en effet difficile de contrôler Solana en se concentrant sur les détails.
Voir l'originalRépondre0
GateUser-75ee51e7
· Il y a 5h
Ça explose, je suis vraiment fatigué.
Voir l'originalRépondre0
AllTalkLongTrader
· Il y a 5h
pigeons ont beaucoup de désastres... ne vous laissez pas prendre les gens pour des idiots
Voir l'originalRépondre0
MeltdownSurvivalist
· Il y a 5h
Il est juste de ne pas acheter de marques de distributeur Open Source.
Voir l'originalRépondre0
BridgeNomad
· Il y a 5h
pas vos clés, pas votre crypto... un autre exploit de Solana, je suis déçu
L'écosystème Solana révèle à nouveau des bots malveillants qui volent des clés privées. Utilisez les projets open source avec prudence.
Les Bots malveillants réapparaissent dans l'écosystème Solana : des fichiers de configuration cachent des pièges de transmission de Clé privée
Début juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés. L'enquête a révélé que l'incident provenait de l'utilisation par cet utilisateur d'un projet open source sur GitHub nommé solana-pumpfun-bot, déclenchant ainsi des comportements cachés de vol de pièces.
Récemment, d'autres utilisateurs ont perdu des actifs en utilisant des projets open source similaires comme audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. L'équipe de sécurité a effectué une analyse approfondie.
Processus d'analyse
Analyse statique
L'analyse a révélé que le code suspect se trouve dans le fichier de configuration /src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet() pour obtenir la Clé privée, puis vérifie la longueur de la Clé privée :
Ensuite, le code malveillant décode l'adresse du serveur de l'attaquant et construit un corps de requête JSON pour envoyer la clé privée à cette adresse. En même temps, cette méthode comprend également des fonctionnalités normales telles que l'obtention des prix pour dissimuler ses comportements malveillants.
La méthode create_coingecko_proxy() est appelée lors du démarrage de l'application, située dans la phase d'initialisation du fichier de configuration de la méthode main() dans main.rs.
L'IP du serveur de l'attaquant est situé aux États-Unis. Le projet a récemment été mis à jour sur GitHub, principalement pour modifier le codage de l'adresse du serveur dans config.rs.
Analyse dynamique
Pour observer visuellement le processus de vol, nous avons écrit un script pour générer des paires de clés de test et mis en place un serveur pour recevoir des requêtes POST. Remplacez l'adresse malveillante par l'adresse du serveur de test encodée et mettez à jour la clé privée dans le fichier .env.
Après le lancement du code malveillant, le serveur de test a réussi à recevoir des données JSON contenant la Clé privée.
Indicateurs d'intrusion
IP : 103.35.189.28
Nom de domaine : storebackend-qpq3.onrender.com
Dépôt malveillant:
Résumé
Les attaquants se déguisent en projets open source légitimes pour inciter les utilisateurs à exécuter du code malveillant. Le projet lit des informations sensibles dans le fichier .env local et transmet la clé privée volée au serveur de l'attaquant.
Il est conseillé aux développeurs de rester vigilants face aux projets GitHub d'origine inconnue, surtout lorsqu'il s'agit d'opérations liées aux portefeuilles ou aux Clés privées. Si vous devez exécuter ou déboguer, cela doit être fait dans un environnement isolé et sans données sensibles, en évitant d'exécuter des programmes et des commandes d'origine inconnue.