Экосистема Solana вновь сталкивается с вредоносными ботами, которые скрытно крадут закрытые ключи. Будьте осторожны при использовании открытого исходного кода.
В экосистеме Solana снова появились вредоносные боты: в конфигурационном файле скрыта ловушка для утечки закрытого ключа
В начале июля 2025 года один из пользователей обратился за помощью к команде безопасности, сообщив, что его криптоактивы были украдены. Расследование показало, что инцидент произошел из-за того, что пользователь использовал открытый проект под названием solana-pumpfun-bot на GitHub, что привело к скрытому кражу монет.
В последнее время еще несколько пользователей стали жертвами кражи активов из-за использования подобных открытых проектов audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Команда безопасности провела глубокий анализ этого вопроса.
Процесс анализа
Статический анализ
Анализ показал, что подозрительный код находится в файле конфигурации /src/common/config.rs, в основном сосредоточен в методе create_coingecko_proxy(). Этот метод сначала вызывает import_wallet() для получения Закрытый ключ, а затем проверяет длину Закрытый ключ:
Если длина меньше 85, выведите сообщение об ошибке и попадите в бесконечный цикл
Если длина больше 85, преобразуйте закрытый ключ в объект Keypair и оберните его.
Затем вредоносный код декодирует адрес сервера атакующего и формирует JSON-объект, отправляя Закрытый ключ на этот адрес. В то же время, этот метод также включает в себя получение цен и другие нормальные функции, чтобы скрыть свои злонамеренные действия.
Метод create_coingecko_proxy() вызывается при запуске приложения, находится на этапе инициализации конфигурационного файла метода main() в файле main.rs.
IP-адрес сервера атакующего находится в США. Этот проект недавно был обновлен на GitHub, в основном изменено кодирование адреса сервера в config.rs.
Динамический анализ
Для наглядного наблюдения за процессом кражи мы написали скрипт для генерации тестовых пар ключей и настроили сервер для приема POST-запросов. Замените адрес тестового сервера на оригинальный вредоносный адрес и обновите закрытый ключ в файле .env.
После запуска вредоносного кода тестовый сервер успешно получил JSON-данные, содержащие Закрытый ключ.
Показатели вторжения
IP-адрес: 103.35.189.28
Доменное имя: storebackend-qpq3.onrender.com
Злонамеренный репозиторий:
Резюме
Атакующий, маскируясь под законный открытый проект, заставляет пользователей выполнять вредоносный код. Этот проект считывает чувствительную информацию из локального .env файла и передает украденный Закрытый ключ на сервер атакующего.
Рекомендуется разработчикам и пользователям быть осторожными с неизвестными проектами на GitHub, особенно когда дело касается операций с кошельками или закрытыми ключами. Если необходимо запускать или отлаживать, это следует делать в изолированной среде без конфиденциальных данных, избегая выполнения программ и команд с неизвестным источником.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
6
Поделиться
комментарий
0/400
MysteryBoxBuster
· 2ч назад
Цок-цок-цок, снова ловушка
Посмотреть ОригиналОтветить0
gas_fee_therapist
· 2ч назад
солана действительно сложно контролировать, нужно работать с деталями
Посмотреть ОригиналОтветить0
GateUser-75ee51e7
· 2ч назад
Взрыв. Действительно, устал.
Посмотреть ОригиналОтветить0
AllTalkLongTrader
· 2ч назад
неудачники много бед...не дайте себя разыгрывать как лохов
Посмотреть ОригиналОтветить0
MeltdownSurvivalist
· 2ч назад
Не покупайте непроверенные продукты с открытым исходным кодом.
Посмотреть ОригиналОтветить0
BridgeNomad
· 2ч назад
не ваши ключи — не ваши криптовалюты... еще одна уязвимость Солана, смх
Экосистема Solana вновь сталкивается с вредоносными ботами, которые скрытно крадут закрытые ключи. Будьте осторожны при использовании открытого исходного кода.
В экосистеме Solana снова появились вредоносные боты: в конфигурационном файле скрыта ловушка для утечки закрытого ключа
В начале июля 2025 года один из пользователей обратился за помощью к команде безопасности, сообщив, что его криптоактивы были украдены. Расследование показало, что инцидент произошел из-за того, что пользователь использовал открытый проект под названием solana-pumpfun-bot на GitHub, что привело к скрытому кражу монет.
В последнее время еще несколько пользователей стали жертвами кражи активов из-за использования подобных открытых проектов audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Команда безопасности провела глубокий анализ этого вопроса.
Процесс анализа
Статический анализ
Анализ показал, что подозрительный код находится в файле конфигурации /src/common/config.rs, в основном сосредоточен в методе create_coingecko_proxy(). Этот метод сначала вызывает import_wallet() для получения Закрытый ключ, а затем проверяет длину Закрытый ключ:
Затем вредоносный код декодирует адрес сервера атакующего и формирует JSON-объект, отправляя Закрытый ключ на этот адрес. В то же время, этот метод также включает в себя получение цен и другие нормальные функции, чтобы скрыть свои злонамеренные действия.
Метод create_coingecko_proxy() вызывается при запуске приложения, находится на этапе инициализации конфигурационного файла метода main() в файле main.rs.
IP-адрес сервера атакующего находится в США. Этот проект недавно был обновлен на GitHub, в основном изменено кодирование адреса сервера в config.rs.
Динамический анализ
Для наглядного наблюдения за процессом кражи мы написали скрипт для генерации тестовых пар ключей и настроили сервер для приема POST-запросов. Замените адрес тестового сервера на оригинальный вредоносный адрес и обновите закрытый ключ в файле .env.
После запуска вредоносного кода тестовый сервер успешно получил JSON-данные, содержащие Закрытый ключ.
Показатели вторжения
IP-адрес: 103.35.189.28
Доменное имя: storebackend-qpq3.onrender.com
Злонамеренный репозиторий:
Резюме
Атакующий, маскируясь под законный открытый проект, заставляет пользователей выполнять вредоносный код. Этот проект считывает чувствительную информацию из локального .env файла и передает украденный Закрытый ключ на сервер атакующего.
Рекомендуется разработчикам и пользователям быть осторожными с неизвестными проектами на GitHub, особенно когда дело касается операций с кошельками или закрытыми ключами. Если необходимо запускать или отлаживать, это следует делать в изолированной среде без конфиденциальных данных, избегая выполнения программ и команд с неизвестным источником.