В экосистеме Solana снова появились злонамеренные Боты: скрытые профили и ловушки для утечки Закрытого ключа
Недавно один пользователь стал жертвой кражи криптоактивов из-за использования открытого проекта под названием pumpfun-pumpswap-sniper-copy-trading-bot. Команда безопасности провела глубокий анализ этого инцидента.
Статический анализ
Анализ показал, что подозрительный код находится в конфигурационном файле /src/common/config.rs, в основном сосредоточен в методе create_coingecko_proxy(). Этот метод сначала вызывает import_wallet() для получения Закрытый ключ, а затем декодирует вредоносные URL адреса.
Декодированный настоящий адрес:
Зловредный код затем формирует JSON тело запроса, включая в него информацию о закрытом ключе, и отправляет её на указанный URL через POST-запрос. Независимо от того, какой результат возвращает сервер, зловредный код продолжает выполняться, чтобы избежать обнаружения пользователем.
Метод create_coingecko_proxy() вызывается при запуске приложения, находится на этапе инициализации конфигурационного файла метода main в main.rs.
Проект был обновлён на GitHub 17 июля 2025 года, основные изменения сосредоточены в конфигурационном файле config.rs в каталоге src. Исходный адрес сервера-атакующего HELIUS_PROXY( был заменён на новое кодирование.
![Solana экосистема снова сталкивается с вредоносными Ботами: профиль скрывает ловушку для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![В экосистеме Solana вновь появились злонамеренные боты: в конфигурационном файле скрыта ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![В экосистеме Solana вновь появились злонамеренные боты: в профиле скрыта ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana экосистема вновь столкнулась с вредоносными ботами: в профиле скрыт ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Появление злонамеренных ботов в экосистеме Solana: в конфигурационном файле скрыты ловушки для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana экосистема вновь столкнулась с вредоносными ботами: в профиле скрыта ловушка для передачи закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana экосистема снова сталкивается с вредоносными Ботами: в профиле скрыта ловушка для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana экосистема снова столкнулась с вредоносными ботами: в профиле скрыта ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Динамический анализ
Чтобы наглядно наблюдать за процессом кражи вредоносного кода, исследователи написали скрипт на Python для генерации тестовых пар открытого и закрытого ключей Solana и развернули HTTP-сервер для приема POST-запросов.
Замените кодировку адреса тестового сервера на кодировку адреса злонамеренного сервера, установленного первоначальным злоумышленником, и замените PRIVATE_KEY) Закрытый ключ( в файле .env на тестовый закрытый ключ.
После запуска вредоносного кода тестовый сервер успешно получил JSON-данные, отправленные вредоносным проектом, в которых содержится Закрытый ключ) информация.
Другие репозитории с аналогичными методами реализации также перечислены.
Резюме
Злоумышленник, маскируясь под легитимный проект с открытым исходным кодом, заставляет пользователей скачать и выполнить этот вредоносный код. Проект считывает конфиденциальную информацию из локального файла .env и передает украденный закрытый ключ на сервер, контролируемый злоумышленником.
Рекомендуется разработчикам и пользователям проявлять высокую бдительность в отношении незнакомых проектов на GitHub, особенно когда речь идет о кошельках или Закрытых ключах. Если необходимо запустить или отладить, рекомендуется делать это в изолированной среде без чувствительных данных, чтобы избежать выполнения вредоносных программ и команд из ненадежных источников.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
7
Поделиться
комментарий
0/400
NFTDreamer
· 18ч назад
Снова попадаются неудачники, ловушка слишком знакома.
Посмотреть ОригиналОтветить0
LiquidationWatcher
· 18ч назад
Не думал, что sol скрывает такую ловушку.
Посмотреть ОригиналОтветить0
AirdropHunterWang
· 18ч назад
Если ты глуп, то придется попасть в ловушку. Закрытый ключ - это путь назад.
Посмотреть ОригиналОтветить0
BlockTalk
· 19ч назад
Снова кто-то стал жертвой Solana Будут играть для лохов...
Посмотреть ОригиналОтветить0
EthMaximalist
· 19ч назад
Цзэцзэ, сол-цепочка снова была украдена.
Посмотреть ОригиналОтветить0
GovernancePretender
· 19ч назад
Ежедневное напоминание: еще одна ловушка, будьте осторожны, розничные инвесторы.
Посмотреть ОригиналОтветить0
BearMarketSurvivor
· 19ч назад
Я хочу посмотреть, кто еще осмелится тронуть этого бота
В экосистеме Solana вновь появились злонамеренные боты, скрывающие ловушки для кражи закрытых ключей в открытом исходном коде.
В экосистеме Solana снова появились злонамеренные Боты: скрытые профили и ловушки для утечки Закрытого ключа
Недавно один пользователь стал жертвой кражи криптоактивов из-за использования открытого проекта под названием pumpfun-pumpswap-sniper-copy-trading-bot. Команда безопасности провела глубокий анализ этого инцидента.
Статический анализ
Анализ показал, что подозрительный код находится в конфигурационном файле /src/common/config.rs, в основном сосредоточен в методе create_coingecko_proxy(). Этот метод сначала вызывает import_wallet() для получения Закрытый ключ, а затем декодирует вредоносные URL адреса.
Декодированный настоящий адрес:
Зловредный код затем формирует JSON тело запроса, включая в него информацию о закрытом ключе, и отправляет её на указанный URL через POST-запрос. Независимо от того, какой результат возвращает сервер, зловредный код продолжает выполняться, чтобы избежать обнаружения пользователем.
Метод create_coingecko_proxy() вызывается при запуске приложения, находится на этапе инициализации конфигурационного файла метода main в main.rs.
Проект был обновлён на GitHub 17 июля 2025 года, основные изменения сосредоточены в конфигурационном файле config.rs в каталоге src. Исходный адрес сервера-атакующего HELIUS_PROXY( был заменён на новое кодирование.
![Solana экосистема снова сталкивается с вредоносными Ботами: профиль скрывает ловушку для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![В экосистеме Solana вновь появились злонамеренные боты: в конфигурационном файле скрыта ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![В экосистеме Solana вновь появились злонамеренные боты: в профиле скрыта ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana экосистема вновь столкнулась с вредоносными ботами: в профиле скрыт ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Появление злонамеренных ботов в экосистеме Solana: в конфигурационном файле скрыты ловушки для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana экосистема вновь столкнулась с вредоносными ботами: в профиле скрыта ловушка для передачи закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana экосистема снова сталкивается с вредоносными Ботами: в профиле скрыта ловушка для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana экосистема снова столкнулась с вредоносными ботами: в профиле скрыта ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Динамический анализ
Чтобы наглядно наблюдать за процессом кражи вредоносного кода, исследователи написали скрипт на Python для генерации тестовых пар открытого и закрытого ключей Solana и развернули HTTP-сервер для приема POST-запросов.
Замените кодировку адреса тестового сервера на кодировку адреса злонамеренного сервера, установленного первоначальным злоумышленником, и замените PRIVATE_KEY) Закрытый ключ( в файле .env на тестовый закрытый ключ.
После запуска вредоносного кода тестовый сервер успешно получил JSON-данные, отправленные вредоносным проектом, в которых содержится Закрытый ключ) информация.
Индикаторы вторжения ( IoCs )
IP-адрес: 103.35.189.28 Доменное имя: storebackend-qpq3.onrender.com
Зловредный репозиторий:
Другие репозитории с аналогичными методами реализации также перечислены.
Резюме
Злоумышленник, маскируясь под легитимный проект с открытым исходным кодом, заставляет пользователей скачать и выполнить этот вредоносный код. Проект считывает конфиденциальную информацию из локального файла .env и передает украденный закрытый ключ на сервер, контролируемый злоумышленником.
Рекомендуется разработчикам и пользователям проявлять высокую бдительность в отношении незнакомых проектов на GitHub, особенно когда речь идет о кошельках или Закрытых ключах. Если необходимо запустить или отладить, рекомендуется делать это в изолированной среде без чувствительных данных, чтобы избежать выполнения вредоносных программ и команд из ненадежных источников.