У екосистемі Solana знову з'явилися зловмисні боти: профілі приховують пастки для витоку закритого ключа
Нещодавно один користувач втратив свої криптоактиви через використання відкритого проекту під назвою pumpfun-pumpswap-sniper-copy-trading-bot. Команда безпеки провела глибокий аналіз цього випадку.
Статичний аналіз
Аналіз показав, що підозрілий код знаходиться у файлі конфігурації /src/common/config.rs, основна частина зосереджена в методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ, а потім декодує шкідливі URL-адреси.
Декодована реальна адреса:
Зловмисний код потім формує JSON запит, упаковуючи інформацію про закритий ключ, і надсилає її через POST запит на вказану URL. Незалежно від того, який результат повертає сервер, зловмисний код продовжить виконуватись, щоб уникнути виявлення користувачем.
метод create_coingecko_proxy() викликається під час запуску програми, розташований на етапі ініціалізації конфігураційного файлу методу main() у main.rs.
Цей проект нещодавно оновлений на GitHub 17 липня 2025 року. Основні зміни зосереджені на конфігураційних файлах у каталозі src, зокрема в config.rs. Оригінальна адреса сервера зловмисника HELIUS_PROXY( була замінена на нове кодування.
![Solana екосистема знову стала жертвою зловмисних ботів: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana екосистема знову зазнає атак зловмисних ботів: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana екосистема знову піддається атакам зловмисних ботів: у конфігураційних файлах ховаються пастки для витоку закритих ключів])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana екосистема знову з'явилася зловмисними ботами: конфігураційний файл приховує пастку для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana екосистема знову зловмисні боти: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana екосистема знову стала жертвою зловмисних Ботів: профіль приховує пастку для витоку Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana екосистема знову стала жертвою злочинних ботів: у конфігураційних файлах приховані пастки для витоку закритих ключів])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana екосистема знову піддається атакам зловмисних Ботів: в конфігурації приховано пастку для передачі Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Динамічний аналіз
Щоб наочно спостерігати за процесом крадіжки шкідливого коду, дослідники написали сценарій на Python для генерації тестової пари публічного та закритого ключів Solana і створили HTTP-сервер для прийому POST-запитів.
Заміна коду адреси тестового сервера на коду зловмисного сервера, встановленого початковим зловмисником, і заміна PRIVATE_KEY) Закритий ключ( у файлі .env на тестовий Закритий ключ.
Після запуску шкідливого коду тестовий сервер успішно отримав JSON дані, надіслані шкідливим проєктом, які містять Закритий ключ)інформацію.
Інші репозиторії з подібними методами реалізації також наведені.
Підсумок
Атакуючі маскуються під легітимні проекти з відкритим кодом, спонукаючи користувачів завантажувати та виконувати цей шкідливий код. Цей проект читає чутливу інформацію з локального файлу .env та передає вкрадені Закритий ключ на сервер, контрольований атакуючими.
Рекомендується розробникам і користувачам бути особливо обережними з проектами GitHub, джерело яких не відоме, особливо коли йдеться про операції з гаманцем або Закритим ключем. Якщо необхідно запускати або налагоджувати, рекомендується робити це в ізольованому середовищі без чутливих даних, щоб уникнути виконання зловмисних програм і команд невідомого походження.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
7
Поділіться
Прокоментувати
0/400
NFTDreamer
· 18год тому
Знову ловлять невдах, пастка занадто знайома.
Переглянути оригіналвідповісти на0
LiquidationWatcher
· 18год тому
Справді не думав, що sol приховує такі пастки.
Переглянути оригіналвідповісти на0
AirdropHunterWang
· 18год тому
Якщо людина дурна, то повинна потрапити в пастку. Закритий ключ — і вже немає куди бігти.
Переглянути оригіналвідповісти на0
BlockTalk
· 19год тому
Знову когось обдурили, як лохів, в solana...
Переглянути оригіналвідповісти на0
EthMaximalist
· 19год тому
Цікаво, що в мережі sol щодня крадуть.
Переглянути оригіналвідповісти на0
GovernancePretender
· 19год тому
Щоденне нагадування, ще одна пастка, будьте обережні, роздрібні інвестори.
Переглянути оригіналвідповісти на0
BearMarketSurvivor
· 19год тому
Я хочу подивитися, хто ще наважиться торкнутися цього бота.
Екосистема Solana знову зазнала атаки зловмисних Ботів, Відкритий вихідний код проекту приховує пастки для крадіжки Закритий ключ.
У екосистемі Solana знову з'явилися зловмисні боти: профілі приховують пастки для витоку закритого ключа
Нещодавно один користувач втратив свої криптоактиви через використання відкритого проекту під назвою pumpfun-pumpswap-sniper-copy-trading-bot. Команда безпеки провела глибокий аналіз цього випадку.
Статичний аналіз
Аналіз показав, що підозрілий код знаходиться у файлі конфігурації /src/common/config.rs, основна частина зосереджена в методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ, а потім декодує шкідливі URL-адреси.
Декодована реальна адреса:
Зловмисний код потім формує JSON запит, упаковуючи інформацію про закритий ключ, і надсилає її через POST запит на вказану URL. Незалежно від того, який результат повертає сервер, зловмисний код продовжить виконуватись, щоб уникнути виявлення користувачем.
метод create_coingecko_proxy() викликається під час запуску програми, розташований на етапі ініціалізації конфігураційного файлу методу main() у main.rs.
Цей проект нещодавно оновлений на GitHub 17 липня 2025 року. Основні зміни зосереджені на конфігураційних файлах у каталозі src, зокрема в config.rs. Оригінальна адреса сервера зловмисника HELIUS_PROXY( була замінена на нове кодування.
![Solana екосистема знову стала жертвою зловмисних ботів: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana екосистема знову зазнає атак зловмисних ботів: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana екосистема знову піддається атакам зловмисних ботів: у конфігураційних файлах ховаються пастки для витоку закритих ключів])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana екосистема знову з'явилася зловмисними ботами: конфігураційний файл приховує пастку для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana екосистема знову зловмисні боти: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana екосистема знову стала жертвою зловмисних Ботів: профіль приховує пастку для витоку Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana екосистема знову стала жертвою злочинних ботів: у конфігураційних файлах приховані пастки для витоку закритих ключів])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana екосистема знову піддається атакам зловмисних Ботів: в конфігурації приховано пастку для передачі Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Динамічний аналіз
Щоб наочно спостерігати за процесом крадіжки шкідливого коду, дослідники написали сценарій на Python для генерації тестової пари публічного та закритого ключів Solana і створили HTTP-сервер для прийому POST-запитів.
Заміна коду адреси тестового сервера на коду зловмисного сервера, встановленого початковим зловмисником, і заміна PRIVATE_KEY) Закритий ключ( у файлі .env на тестовий Закритий ключ.
Після запуску шкідливого коду тестовий сервер успішно отримав JSON дані, надіслані шкідливим проєктом, які містять Закритий ключ)інформацію.
Показники вторгнення ( IoCs )
Інтернет: 103.35.189.28 Доменне ім'я: storebackend-qpq3.onrender.com
Зловмисний репозиторій:
Інші репозиторії з подібними методами реалізації також наведені.
Підсумок
Атакуючі маскуються під легітимні проекти з відкритим кодом, спонукаючи користувачів завантажувати та виконувати цей шкідливий код. Цей проект читає чутливу інформацію з локального файлу .env та передає вкрадені Закритий ключ на сервер, контрольований атакуючими.
Рекомендується розробникам і користувачам бути особливо обережними з проектами GitHub, джерело яких не відоме, особливо коли йдеться про операції з гаманцем або Закритим ключем. Якщо необхідно запускати або налагоджувати, рекомендується робити це в ізольованому середовищі без чутливих даних, щоб уникнути виконання зловмисних програм і команд невідомого походження.