Une nouvelle apparition de Bots malveillants dans l'écosystème Solana : des pièges de fuite de Clé privée cachés dans les profils
Récemment, un utilisateur a vu ses actifs cryptographiques volés en utilisant un projet open source nommé pumpfun-pumpswap-sniper-copy-trading-bot. L'équipe de sécurité a mené une analyse approfondie à ce sujet.
Analyse statique
L'analyse a révélé que le code suspect se trouve dans le fichier de configuration /src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet() pour obtenir la clé privée, puis décode l'adresse URL malveillante.
L'adresse réelle après décodage est :
Le code malveillant construit ensuite un corps de requête JSON, encapsulant les informations de la Clé privée, et les envoie via une requête POST à l'URL ci-dessus. Peu importe le résultat retourné par le serveur, le code malveillant continuera de fonctionner pour éviter d'attirer l'attention de l'utilisateur.
La méthode create_coingecko_proxy() est appelée lors du démarrage de l'application, située dans la phase d'initialisation du fichier de configuration de la méthode main() dans main.rs.
Le projet a été mis à jour récemment sur GitHub le 17 juillet 202025, les principales modifications se concentrent dans le fichier de configuration config.rs sous le répertoire src. L'adresse d'origine du serveur de l'attaquant HELIUS_PROXY( a été remplacée par un nouvel encodage.
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège de fuite de clé privée])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana écosystème réapparaît avec des Bots malveillants : le profil cache un piège de transmission de Clé privée])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana écosystème présente à nouveau des Bots malveillants : le profil cache un piège de divulgation de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Une réapparition de bots malveillants dans l'écosystème Solana : des clés privées cachées dans les profils pour des fuites])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
! [L’écosystème Solana recrée des bots malveillants : fichier de configuration caché piège de transmission de clé privée])https ://img-cdn.gateio.im/social/moments-453d878924f97e2f24033e4d40f0a24c(
![Les bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège pour l'exfiltration de la clé privée])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Les écosystèmes Solana présentent à nouveau des Bots malveillants : le profil cache un piège de fuite de clé privée])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège d'exfiltration de clé privée])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Analyse dynamique
Pour observer de manière intuitive le processus de vol de code malveillant, les chercheurs ont écrit un script Python pour générer des paires de clés publiques et privées Solana à des fins de test, et ont mis en place un serveur HTTP pour recevoir des requêtes POST.
Remplacez l'encodage de l'adresse du serveur de test par l'encodage de l'adresse du serveur malveillant configuré par l'attaquant, et remplacez la Clé privée dans le fichier .env par la clé privée de test.
Après le lancement du code malveillant, le serveur de test a réussi à recevoir les données JSON envoyées par le projet malveillant, qui contiennent des informations sur la Clé privée) et la Clé privée(.
![Solana écosystème recrée des bots malveillants : le profil cache un piège de transmission de clé privée])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![La réapparition de bots malveillants dans l'écosystème Solana : un piège caché dans le profil pour la fuite de la clé privée])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège de divulgation de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![La réapparition de bots malveillants dans l'écosystème Solana : le profil cache un piège pour l'envoi de la clé privée])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Les bots malveillants réapparaissent dans l'écosystème Solana : les fichiers de configuration cachent des pièges de divulgation de clé privée])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana écosystème réapparaît avec des Bots malveillants : le profil cache un piège d'exfiltration de clé privée])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana écosystème revoit des bots malveillants : le profil cache un piège de fuite de clé privée])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Solana écosystème réapparaît avec des Bots malveillants : le profil cache un piège de clé privée])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Solana écosystème présente à nouveau des Bots malveillants : le profil cache un piège de transmission de Clé privée])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
Indicateurs d'intrusion ) IoCs (
IP: 103.35.189.28
Nom de domaine : storebackend-qpq3.onrender.com
Dépôts malveillants:
D'autres dépôts utilisant des méthodes similaires sont également listés.
![Solana écologie réapparition de Bots malveillants : le profil cache un piège de transmission de Clé privée])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Les bots malveillants réapparaissent dans l'écosystème Solana : un piège de divulgation de clé privée caché dans le profil])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
Résumé
Les attaquants se déguisent en projet open source légitime pour inciter les utilisateurs à télécharger et exécuter ce code malveillant. Ce projet lira les informations sensibles du fichier .env local et transmettra les clés privées volées à un serveur contrôlé par les attaquants.
Il est conseillé aux développeurs de rester très vigilants envers les projets GitHub d'origine inconnue, surtout lorsqu'il s'agit d'opérations sur des portefeuilles ou des clés privées. Si l'exécution ou le débogage est nécessaire, il est recommandé de le faire dans un environnement isolé et sans données sensibles, afin d'éviter d'exécuter des programmes et des commandes malveillants d'origine inconnue.
![Les écosystèmes Solana sont de nouveau menacés par des bots malveillants : le profil cache un piège pour la divulgation des clés privées])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
7
Partager
Commentaire
0/400
NFTDreamer
· Il y a 18h
Encore une fois, pièger les pigeons, le piège est trop familier.
Voir l'originalRépondre0
LiquidationWatcher
· Il y a 18h
Je ne pensais vraiment pas que sol cachait ce genre de piège.
Voir l'originalRépondre0
AirdropHunterWang
· Il y a 18h
Si on est stupide, on doit en subir les conséquences. Se faire piéger avec une clé privée, et il n'y a plus moyen de s'en sortir.
Voir l'originalRépondre0
BlockTalk
· Il y a 19h
Encore quelqu'un s'est fait prendre pour des cons par Solana...
Voir l'originalRépondre0
EthMaximalist
· Il y a 19h
Zut, la chaîne sol se fait régulièrement voler.
Voir l'originalRépondre0
GovernancePretender
· Il y a 19h
Rappel quotidien : un autre piège, attention à votre sécurité, investisseurs détaillant.
L'écosystème Solana fait de nouveau face à des Bots malveillants, un projet Open Source cache des pièges pour voler des Clés privées.
Une nouvelle apparition de Bots malveillants dans l'écosystème Solana : des pièges de fuite de Clé privée cachés dans les profils
Récemment, un utilisateur a vu ses actifs cryptographiques volés en utilisant un projet open source nommé pumpfun-pumpswap-sniper-copy-trading-bot. L'équipe de sécurité a mené une analyse approfondie à ce sujet.
Analyse statique
L'analyse a révélé que le code suspect se trouve dans le fichier de configuration /src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet() pour obtenir la clé privée, puis décode l'adresse URL malveillante.
L'adresse réelle après décodage est :
Le code malveillant construit ensuite un corps de requête JSON, encapsulant les informations de la Clé privée, et les envoie via une requête POST à l'URL ci-dessus. Peu importe le résultat retourné par le serveur, le code malveillant continuera de fonctionner pour éviter d'attirer l'attention de l'utilisateur.
La méthode create_coingecko_proxy() est appelée lors du démarrage de l'application, située dans la phase d'initialisation du fichier de configuration de la méthode main() dans main.rs.
Le projet a été mis à jour récemment sur GitHub le 17 juillet 202025, les principales modifications se concentrent dans le fichier de configuration config.rs sous le répertoire src. L'adresse d'origine du serveur de l'attaquant HELIUS_PROXY( a été remplacée par un nouvel encodage.
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège de fuite de clé privée])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana écosystème réapparaît avec des Bots malveillants : le profil cache un piège de transmission de Clé privée])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana écosystème présente à nouveau des Bots malveillants : le profil cache un piège de divulgation de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Une réapparition de bots malveillants dans l'écosystème Solana : des clés privées cachées dans les profils pour des fuites])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
! [L’écosystème Solana recrée des bots malveillants : fichier de configuration caché piège de transmission de clé privée])https ://img-cdn.gateio.im/social/moments-453d878924f97e2f24033e4d40f0a24c(
![Les bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège pour l'exfiltration de la clé privée])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Les écosystèmes Solana présentent à nouveau des Bots malveillants : le profil cache un piège de fuite de clé privée])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège d'exfiltration de clé privée])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Analyse dynamique
Pour observer de manière intuitive le processus de vol de code malveillant, les chercheurs ont écrit un script Python pour générer des paires de clés publiques et privées Solana à des fins de test, et ont mis en place un serveur HTTP pour recevoir des requêtes POST.
Remplacez l'encodage de l'adresse du serveur de test par l'encodage de l'adresse du serveur malveillant configuré par l'attaquant, et remplacez la Clé privée dans le fichier .env par la clé privée de test.
Après le lancement du code malveillant, le serveur de test a réussi à recevoir les données JSON envoyées par le projet malveillant, qui contiennent des informations sur la Clé privée) et la Clé privée(.
![Solana écosystème recrée des bots malveillants : le profil cache un piège de transmission de clé privée])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![La réapparition de bots malveillants dans l'écosystème Solana : un piège caché dans le profil pour la fuite de la clé privée])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège de divulgation de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![La réapparition de bots malveillants dans l'écosystème Solana : le profil cache un piège pour l'envoi de la clé privée])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Les bots malveillants réapparaissent dans l'écosystème Solana : les fichiers de configuration cachent des pièges de divulgation de clé privée])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana écosystème réapparaît avec des Bots malveillants : le profil cache un piège d'exfiltration de clé privée])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana écosystème revoit des bots malveillants : le profil cache un piège de fuite de clé privée])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Solana écosystème réapparaît avec des Bots malveillants : le profil cache un piège de clé privée])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Solana écosystème présente à nouveau des Bots malveillants : le profil cache un piège de transmission de Clé privée])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
Indicateurs d'intrusion ) IoCs (
IP: 103.35.189.28 Nom de domaine : storebackend-qpq3.onrender.com
Dépôts malveillants:
D'autres dépôts utilisant des méthodes similaires sont également listés.
![Solana écologie réapparition de Bots malveillants : le profil cache un piège de transmission de Clé privée])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Les bots malveillants réapparaissent dans l'écosystème Solana : un piège de divulgation de clé privée caché dans le profil])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
Résumé
Les attaquants se déguisent en projet open source légitime pour inciter les utilisateurs à télécharger et exécuter ce code malveillant. Ce projet lira les informations sensibles du fichier .env local et transmettra les clés privées volées à un serveur contrôlé par les attaquants.
Il est conseillé aux développeurs de rester très vigilants envers les projets GitHub d'origine inconnue, surtout lorsqu'il s'agit d'opérations sur des portefeuilles ou des clés privées. Si l'exécution ou le débogage est nécessaire, il est recommandé de le faire dans un environnement isolé et sans données sensibles, afin d'éviter d'exécuter des programmes et des commandes malveillants d'origine inconnue.
![Les écosystèmes Solana sont de nouveau menacés par des bots malveillants : le profil cache un piège pour la divulgation des clés privées])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(