ソラナ生態系に再び悪意のあるボットが出現 オープンソースプロジェクトが秘密鍵を隠して盗取する罠

robot
概要作成中

ソラナエコシステムに再び悪意のあるボットが出現: プロファイルが秘密鍵漏洩の罠を隠す

最近、あるユーザーが pumpfun-pumpswap-sniper-copy-trading-bot という名前のオープンソースプロジェクトを使用したため、暗号資産が盗まれました。セキュリティチームはこれについて詳細な分析を行いました。

静的解析

分析の結果、疑わしいコードは /src/common/config.rs 設定ファイル内にあり、主に create_coingecko_proxy() メソッド内に集中しています。このメソッドはまず import_wallet() を呼び出して秘密鍵を取得し、その後悪意のある URL アドレスをデコードします。

デコードされた実際のアドレスは:

悪意のあるコードはその後、JSONリクエストボディを構築し、秘密鍵の情報をその中に封入し、上記のURLにPOSTリクエストを送信します。サーバーがどのような結果を返そうとも、悪意のあるコードは引き続き実行され、ユーザーに気づかれないようにします。

create_coingecko_proxy() メソッドはアプリケーション起動時に呼び出され、main.rs の main() メソッドの設定ファイル初期化段階にあります。

このプロジェクトは、GitHub上で最近(2025年7月17日に)更新され、主な変更はsrcディレクトリ内の設定ファイルconfig.rsに集中しています。HELIUS_PROXY(攻撃者サーバーの元のアドレスのエンコーディングが新しいエンコーディングに置き換えられました。

! [悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-18e2e53ca3a5e4a8aa697fefefefe2d3dc09(

![ソラナエコシステムに再び悪意のあるボットが出現:プロフィールに私鍵外伝の罠が隠されている])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(

! [悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(

! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(

! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(

! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(

! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(

! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(

動的解析

悪意のあるコードの盗難プロセスを直観的に観察するために、研究者はテスト用のソラナの公開鍵と秘密鍵のペアを生成するPythonスクリプトを作成し、POSTリクエストを受信するHTTPサーバーを構築しました。

テストサーバーのアドレスエンコーディングを元の攻撃者が設定した悪意のあるサーバーアドレスエンコーディングに置き換え、.envファイル内のPRIVATE_KEY)秘密鍵(をテスト用の秘密鍵に置き換えてください。

悪意のコードを起動した後、テストサーバーは悪意のプロジェクトから送信された JSON データを正常に受信しました。その中には PRIVATE_KEY)秘密鍵(情報が含まれています。

![ソラナエコシステムに再び悪意のあるボットが出現:プロフィールに秘密鍵流出の罠が隠されている])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(

![ソラナエコシステムに再び悪意のあるボット:設定ファイルに私鍵外伝の罠が隠されている])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(

! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(

! [悪意のあるボットのSolana生態学的複製:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(

! [Solana悪意のあるロボットの生態学的複製:設定ファイル隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(

! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(

! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(

! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(

! [Solanaエコシステムは悪意のあるロボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(

侵入インジケータ )IoCs(

IPアドレス:103.35.189.28 ドメイン名:storebackend-qpq3.onrender.com

悪意のある倉庫:

類似の実装手法を持つ他のリポジトリもリストアップされています。

! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(

! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(

まとめ

攻撃者は合法なオープンソースプロジェクトに偽装し、ユーザーを誘導してその悪意のあるコードをダウンロードさせて実行させます。このプロジェクトはローカルの .env ファイルから機密情報を読み取り、盗まれた秘密鍵を攻撃者が制御するサーバーに転送します。

開発者は、特に財布や秘密鍵の操作に関わる場合、出所不明の GitHub プロジェクトに対して高度な警戒を保つことをお勧めします。実行またはデバッグが必要な場合は、独立した、機密データのない環境で行うことをお勧めし、出所不明の悪意のあるプログラムやコマンドを実行しないようにしてください。

! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(

SOL-1.33%
原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。
  • 報酬
  • 7
  • 共有
コメント
0/400
NFTDreamervip
· 18時間前
また初心者を罠にかける、手口があまりにも熟練している。
原文表示返信0
LiquidationWatchervip
· 18時間前
本当に思わなかった、solにはこんな罠が隠れているなんて。
原文表示返信0
AirdropHunterWangvip
· 18時間前
人が愚かであれば罠にはまるしかない。秘密鍵を使ったら逃げられない。
原文表示返信0
BlockTalkvip
· 18時間前
また誰かがSolanaにカモにされました...
原文表示返信0
EthMaximalistvip
· 19時間前
ちぇっ、solチェーンは日常的に盗まれてるね
原文表示返信0
GovernancePretendervip
· 19時間前
日常のリマインダー、また一つの罠です、個人投資家の皆さん、安全に注意してください。
原文表示返信0
BearMarketSurvivorvip
· 19時間前
私は誰がこのボットに触れることができるのか見てみたい。
原文表示返信0
いつでもどこでも暗号資産取引
qrCode
スキャンしてGateアプリをダウンロード
コミュニティ
日本語
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)