Análise do incidente de roubo de ativos dos usuários da Solana

No dia 2 de julho de 2025, um usuário pediu ajuda a uma equipe de segurança, afirmando que, após usar o projeto de código aberto "solana-pumpfun-bot" no GitHub, sofreu o roubo de ativos criptográficos. A equipe de segurança imediatamente iniciou uma investigação.

A investigação revelou que o projeto no GitHub apresenta vários sinais de anomalia. Em primeiro lugar, o código do projeto foi concentrado em submissões há três semanas, faltando atualizações contínuas. Em segundo lugar, as dependências do projeto incluem um pacote de terceiros suspeito "crypto-layout-utils", que foi removido oficialmente do NPM, e a versão especificada não aparece no histórico oficial.

Uma análise mais aprofundada revelou que o atacante substituiu o link de download de "crypto-layout-utils" no arquivo package-lock.json, apontando para um pacote de release de um repositório do GitHub. Este pacote foi altamente ofuscado, e após a desofuscação, foi confirmado como código malicioso. O pacote malicioso irá escanear os arquivos do computador do usuário em busca de conteúdos relacionados a carteiras ou chaves privadas e os enviará para um servidor controlado pelo atacante.

Os atacantes também podem ter controlado um conjunto de contas do GitHub, usadas para fazer Fork de projetos maliciosos e aumentar o número de Stars, a fim de aumentar a credibilidade do projeto e expandir o alcance da sua divulgação. Alguns projetos Fork utilizaram outro pacote malicioso "bs58-encrypt-utils-1.0.3".

Através de ferramentas de análise on-chain, foi descoberto que parte dos fundos roubados foi transferida para uma determinada plataforma de negociação.

O ataque desta vez disfarçou projetos de código aberto legítimos, induzindo os usuários a baixar e executar projetos Node.js com dependências maliciosas, resultando em vazamento de chaves privadas e roubo de ativos. A técnica de ataque combina engenharia social e métodos técnicos, apresentando uma forte capacidade de engano e propagação.

Recomenda-se que desenvolvedores e usuários mantenham uma alta vigilância em relação a projetos do GitHub de origem desconhecida, especialmente quando envolvem operações com carteiras ou chaves privadas. Se necessário para depuração, deve ser feito em um ambiente isolado e sem dados sensíveis.

Este evento envolve vários repositórios GitHub e pacotes NPM maliciosos, e os atacantes também utilizaram servidores de controle para receber os dados roubados. Os usuários devem ter cuidado ao usar projetos de código aberto e garantir que o ambiente esteja seguro para evitar ataques semelhantes.