Solana ekosisteminde tekrar kötü niyetli Botlar ortaya çıktı: Profil gizli Özel Anahtar sızdırma tuzağı
Son zamanlarda, bir kullanıcı pumpfun-pumpswap-sniper-copy-trading-bot adlı açık kaynaklı bir proje kullanarak kripto varlıklarının çalınmasına neden oldu. Güvenlik ekibi bu durumu derinlemesine analiz etti.
Statik Analiz
Analizler, şüpheli kodun /src/common/config.rs yapılandırma dosyasında bulunduğunu ve esasen create_coingecko_proxy() yönteminde yoğunlaştığını ortaya koydu. Bu yöntem önce import_wallet()'i çağırarak Özel Anahtar'ı alıyor, ardından kötü niyetli URL adresini çözümleme yapıyor.
Çözülmüş gerçek adres:
Kötü niyetli kod daha sonra JSON istek gövdesini oluşturarak Özel Anahtar bilgilerini bunun içine yerleştirir ve yukarıda belirtilen URL'ye POST isteği ile gönderir. Sunucu her ne tür bir sonuç dönerse dönsün, kötü niyetli kod çalışmaya devam edecektir, böylece kullanıcının fark etmesini engelleyecektir.
Proje, GitHub'da yakın zamanda (2025 tarihinde 7 Temmuz ) güncellendi, ana değişiklikler src dizinindeki yapılandırma dosyası config.rs üzerinde yoğunlaşmaktadır. HELIUS_PROXY( saldırgan sunucu adresinin eski kodlaması yeni kodlama ile değiştirilmiştir.
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası özel anahtar sızıntı tuzağını gizliyor])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil dosyası dışa aktarım tuzağı olarak Özel Anahtar barındırıyor])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyasının içinde Özel Anahtar dışarıya sızdırma tuzağı])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyasında özel anahtar dışa aktarım tuzağı])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyasında Özel Anahtar dışa aktarım tuzağı])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil dosyasında Özel Anahtar sızıntı tuzağı])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyasında Özel Anahtar dışarı sızma tuzağı])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil dosyasında Özel Anahtar dışa aktarım tuzağı])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Dinamik Analiz
Kötü amaçlı yazılımın hırsızlık sürecini gözlemlemek için, araştırmacılar test amaçlı Python betiği yazarak Solana genel ve özel anahtar çiftleri oluşturdu ve POST isteklerini kabul eden bir HTTP sunucusu kurdular.
Test sunucu adresi kodunu, orijinal saldırganın ayarladığı kötü niyetli sunucu adresi kodu ile değiştirin ve .env dosyasındaki PRIVATE_KEY) Özel Anahtar('ı test özel anahtarı ile değiştirin.
Kötü niyetli kod başlatıldıktan sonra, test sunucusu kötü niyetli projeden gönderilen JSON verilerini başarıyla aldı, bunlar arasında Özel Anahtar)bilgisi bulunmaktadır.
İhlal Göstergeleri ( IoCs )
IP: 103.35.189.28
Alan adı: storebackend-qpq3.onrender.com
Kötü Niyetli Depo:
Benzer uygulama yöntemlerine sahip diğer depolar da listelenmiştir.
Özet
Saldırganlar, meşru bir açık kaynak projesi gibi davranarak kullanıcıları bu kötü amaçlı kodu indirmeye ve çalıştırmaya ikna eder. Bu proje, yerel olarak .env dosyasındaki hassas bilgileri okur ve çalınan Özel Anahtar'ı saldırganın kontrolündeki sunucuya aktarır.
Geliştiricilerin, özellikle cüzdan veya özel anahtar işlemleri ile ilgili olduğunda, belirsiz kaynaklardan gelen GitHub projelerine karşı son derece dikkatli olmaları önerilir. Eğer çalıştırmak veya hata ayıklamak gerekiyorsa, bunu bağımsız ve hassas veri içermeyen bir ortamda yapmaları, kaynağı belirsiz kötü amaçlı programlar ve komutlar çalıştırmaktan kaçınmaları önerilir.
 and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
7
Share
Comment
0/400
NFTDreamer
· 18h ago
Yine enayileri tuzağa düşürüyor, taktik çok tanıdık.
View OriginalReply0
LiquidationWatcher
· 18h ago
Gerçekten sol'un böyle bir tuzak sakladığını düşünmemiştim.
View OriginalReply0
AirdropHunterWang
· 18h ago
İnsan aptalsa tuzağa düşer. Özel Anahtarı takınca kaçış yok.
View OriginalReply0
BlockTalk
· 19h ago
Yine birileri Solana tarafından Emiciler Tarafından Oyuna Getirilmek oldu...
View OriginalReply0
EthMaximalist
· 19h ago
Tsk tsk, sol zinciri günlük olarak çalınıyor.
View OriginalReply0
GovernancePretender
· 19h ago
Günlük hatırlatma, bir başka tuzak, dikkatli olun bireysel yatırımcılar!
View OriginalReply0
BearMarketSurvivor
· 19h ago
Bu botla kimlerin oynamaya cesaret ettiğini görmek istiyorum.
Solana ekosisteminde kötü niyetli botlar yeniden ortaya çıktı, açık kaynak projeleri özel anahtar hırsızlık tuzakları gizliyor.
Solana ekosisteminde tekrar kötü niyetli Botlar ortaya çıktı: Profil gizli Özel Anahtar sızdırma tuzağı
Son zamanlarda, bir kullanıcı pumpfun-pumpswap-sniper-copy-trading-bot adlı açık kaynaklı bir proje kullanarak kripto varlıklarının çalınmasına neden oldu. Güvenlik ekibi bu durumu derinlemesine analiz etti.
Statik Analiz
Analizler, şüpheli kodun /src/common/config.rs yapılandırma dosyasında bulunduğunu ve esasen create_coingecko_proxy() yönteminde yoğunlaştığını ortaya koydu. Bu yöntem önce import_wallet()'i çağırarak Özel Anahtar'ı alıyor, ardından kötü niyetli URL adresini çözümleme yapıyor.
Çözülmüş gerçek adres:
Kötü niyetli kod daha sonra JSON istek gövdesini oluşturarak Özel Anahtar bilgilerini bunun içine yerleştirir ve yukarıda belirtilen URL'ye POST isteği ile gönderir. Sunucu her ne tür bir sonuç dönerse dönsün, kötü niyetli kod çalışmaya devam edecektir, böylece kullanıcının fark etmesini engelleyecektir.
create_coingecko_proxy() metodu uygulama başlatıldığında çağrılır, main.rs dosyasındaki main() metodunun yapılandırma dosyası başlatma aşamasında.
Proje, GitHub'da yakın zamanda (2025 tarihinde 7 Temmuz ) güncellendi, ana değişiklikler src dizinindeki yapılandırma dosyası config.rs üzerinde yoğunlaşmaktadır. HELIUS_PROXY( saldırgan sunucu adresinin eski kodlaması yeni kodlama ile değiştirilmiştir.
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası özel anahtar sızıntı tuzağını gizliyor])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil dosyası dışa aktarım tuzağı olarak Özel Anahtar barındırıyor])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyasının içinde Özel Anahtar dışarıya sızdırma tuzağı])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyasında özel anahtar dışa aktarım tuzağı])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyasında Özel Anahtar dışa aktarım tuzağı])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil dosyasında Özel Anahtar sızıntı tuzağı])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyasında Özel Anahtar dışarı sızma tuzağı])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil dosyasında Özel Anahtar dışa aktarım tuzağı])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Dinamik Analiz
Kötü amaçlı yazılımın hırsızlık sürecini gözlemlemek için, araştırmacılar test amaçlı Python betiği yazarak Solana genel ve özel anahtar çiftleri oluşturdu ve POST isteklerini kabul eden bir HTTP sunucusu kurdular.
Test sunucu adresi kodunu, orijinal saldırganın ayarladığı kötü niyetli sunucu adresi kodu ile değiştirin ve .env dosyasındaki PRIVATE_KEY) Özel Anahtar('ı test özel anahtarı ile değiştirin.
Kötü niyetli kod başlatıldıktan sonra, test sunucusu kötü niyetli projeden gönderilen JSON verilerini başarıyla aldı, bunlar arasında Özel Anahtar)bilgisi bulunmaktadır.
İhlal Göstergeleri ( IoCs )
IP: 103.35.189.28 Alan adı: storebackend-qpq3.onrender.com
Kötü Niyetli Depo:
Benzer uygulama yöntemlerine sahip diğer depolar da listelenmiştir.
Özet
Saldırganlar, meşru bir açık kaynak projesi gibi davranarak kullanıcıları bu kötü amaçlı kodu indirmeye ve çalıştırmaya ikna eder. Bu proje, yerel olarak .env dosyasındaki hassas bilgileri okur ve çalınan Özel Anahtar'ı saldırganın kontrolündeki sunucuya aktarır.
Geliştiricilerin, özellikle cüzdan veya özel anahtar işlemleri ile ilgili olduğunda, belirsiz kaynaklardan gelen GitHub projelerine karşı son derece dikkatli olmaları önerilir. Eğer çalıştırmak veya hata ayıklamak gerekiyorsa, bunu bağımsız ve hassas veri içermeyen bir ortamda yapmaları, kaynağı belirsiz kötü amaçlı programlar ve komutlar çalıştırmaktan kaçınmaları önerilir.
![Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyasında özel anahtar dışarıya sızdırma tuzağı](https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp01