У екосистемі Solana знову з'явилися злісні боти: у конфігураційних файлах приховані пастки для викрадення закритих ключів
На початку липня 2025 року один користувач звернувся до команди безпеки з проханням про допомогу, стверджуючи, що його криптоактиви були вкрадені. Після розслідування було виявлено, що інцидент стався через те, що користувач використовував відкритий проект, розміщений на певній кодовій платформі, що призвело до прихованих дій з крадіжки монет.
Нещодавно, ще один користувач став жертвою крадіжки криптоактивів через використання подібних відкритих проектів audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. У зв'язку з цим, команда безпеки провела глибокий аналіз.
Аналіз процесу
Статичний аналіз
За допомогою статичного аналізу виявлено підозрілий код у файлі конфігурації /src/common/config.rs, який здебільшого зосереджений у методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ інформації.
У методі import_env_var() основна мета полягає в отриманні інформації про конфігурацію змінних середовища з файлу .env. Якщо змінна середовища відсутня, відбудеться безкінечний цикл, що призведе до постійного споживання ресурсів.
Закритий ключ та інша чутлива інформація зберігаються у файлі .env. Отримавши закритий ключ, шкідливий код перевіряє довжину закритого ключа: якщо менше 85, то вступає у безкінечний цикл; якщо більше 85, то перетворює його на об'єкт Keypair.
Потім шкідливий код декодує зашитий URL-адресу, отримуючи адресу сервера зловмисника. Далі формує JSON-тіло запиту, надсилаючи інформацію про Закритий ключ на цей сервер, при цьому ігноруючи результати відповіді.
метод create_coingecko_proxy() викликається під час запуску програми, на етапі ініціалізації конфігураційного файлу. Назва цього методу замаскована і може бути дещо оманливою.
Після аналізу, IP-адреса сервера атакуючого знаходиться в США. Цей проект нещодавно було оновлено, основні зміни зосереджені в конфігураційних файлах, кодування адреси сервера атакуючого було замінено.
Динамічний аналіз
Для наочного спостереження за процесом крадіжки, команда безпеки написала скрипт для генерації тестових відкритих і закритих ключів, а також налаштувала HTTP-сервер для прийому POST-запитів.
Замініть кодування адреси тестового сервера на кодування оригінальної шкідливої адреси та вставте тестовий Закритий ключ у файл .env. Після запуску шкідливого коду можна побачити, що тестовий сервер успішно отримав JSON-дані, що містять інформацію про Закритий ключ.
Крім того, виявлено кілька репозиторіїв з подібними методами реалізації.
Підсумок
Зловмисники, маскуючись під легітимний проект з відкритим кодом, спонукають користувачів виконувати шкідливий код. Цей проект читає локальну чутливу інформацію та передає вкрадений закритий ключ на сервер зловмисника. Такі атаки зазвичай поєднуються з техніками соціальної інженерії, і користувачі, трохи неуважні, можуть потрапити в пастку.
Рекомендується розробникам і користувачам бути обережними з проектами невідомого походження, особливо коли мова йде про операції з гаманцем або Закритим ключем. Якщо потрібно налагоджувати, це слід робити в ізольованому середовищі без чутливих даних, уникаючи виконання програм і команд невідомого походження.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
5
Репост
Поділіться
Прокоментувати
0/400
RamenDeFiSurvivor
· 08-09 11:54
Відкритий вихідний код проектів ще наважиться чіпати? Самі винні.
Переглянути оригіналвідповісти на0
ChainPoet
· 08-09 06:14
Ще користуєтеся відкритим вихідним кодом? Прокиньтеся
Переглянути оригіналвідповісти на0
rugdoc.eth
· 08-09 06:11
Кожного разу, перш ніж налаштувати код, перегляньте його десять разів.
Переглянути оригіналвідповісти на0
MonkeySeeMonkeyDo
· 08-09 06:02
Справжній майстер, клас!
Переглянути оригіналвідповісти на0
FUD_Whisperer
· 08-09 05:52
Не біда, я спеціально використовую альткоїн Відкритий вихідний код інструменти.
У екосистемі Solana з'явилися нові боти для крадіжки закритих ключів. Будьте обережні, відкриті вихідні коди можуть приховувати загадки.
У екосистемі Solana знову з'явилися злісні боти: у конфігураційних файлах приховані пастки для викрадення закритих ключів
На початку липня 2025 року один користувач звернувся до команди безпеки з проханням про допомогу, стверджуючи, що його криптоактиви були вкрадені. Після розслідування було виявлено, що інцидент стався через те, що користувач використовував відкритий проект, розміщений на певній кодовій платформі, що призвело до прихованих дій з крадіжки монет.
Нещодавно, ще один користувач став жертвою крадіжки криптоактивів через використання подібних відкритих проектів audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. У зв'язку з цим, команда безпеки провела глибокий аналіз.
Аналіз процесу
Статичний аналіз
За допомогою статичного аналізу виявлено підозрілий код у файлі конфігурації /src/common/config.rs, який здебільшого зосереджений у методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ інформації.
У методі import_env_var() основна мета полягає в отриманні інформації про конфігурацію змінних середовища з файлу .env. Якщо змінна середовища відсутня, відбудеться безкінечний цикл, що призведе до постійного споживання ресурсів.
Закритий ключ та інша чутлива інформація зберігаються у файлі .env. Отримавши закритий ключ, шкідливий код перевіряє довжину закритого ключа: якщо менше 85, то вступає у безкінечний цикл; якщо більше 85, то перетворює його на об'єкт Keypair.
Потім шкідливий код декодує зашитий URL-адресу, отримуючи адресу сервера зловмисника. Далі формує JSON-тіло запиту, надсилаючи інформацію про Закритий ключ на цей сервер, при цьому ігноруючи результати відповіді.
метод create_coingecko_proxy() викликається під час запуску програми, на етапі ініціалізації конфігураційного файлу. Назва цього методу замаскована і може бути дещо оманливою.
Після аналізу, IP-адреса сервера атакуючого знаходиться в США. Цей проект нещодавно було оновлено, основні зміни зосереджені в конфігураційних файлах, кодування адреси сервера атакуючого було замінено.
Динамічний аналіз
Для наочного спостереження за процесом крадіжки, команда безпеки написала скрипт для генерації тестових відкритих і закритих ключів, а також налаштувала HTTP-сервер для прийому POST-запитів.
Замініть кодування адреси тестового сервера на кодування оригінальної шкідливої адреси та вставте тестовий Закритий ключ у файл .env. Після запуску шкідливого коду можна побачити, що тестовий сервер успішно отримав JSON-дані, що містять інформацію про Закритий ключ.
Індикатори вторгнення
Крім того, виявлено кілька репозиторіїв з подібними методами реалізації.
Підсумок
Зловмисники, маскуючись під легітимний проект з відкритим кодом, спонукають користувачів виконувати шкідливий код. Цей проект читає локальну чутливу інформацію та передає вкрадений закритий ключ на сервер зловмисника. Такі атаки зазвичай поєднуються з техніками соціальної інженерії, і користувачі, трохи неуважні, можуть потрапити в пастку.
Рекомендується розробникам і користувачам бути обережними з проектами невідомого походження, особливо коли мова йде про операції з гаманцем або Закритим ключем. Якщо потрібно налагоджувати, це слід робити в ізольованому середовищі без чутливих даних, уникаючи виконання програм і команд невідомого походження.