Solana ecosistema vuelve a ver Bots maliciosos: riesgo de fuga de Llave privada oculta en el archivo de configuración
Recientemente, algunos usuarios han sido víctimas de robos de activos criptográficos debido al uso de un proyecto de código abierto llamado audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Un equipo de investigación de seguridad ha realizado un análisis profundo sobre esto.
Proceso de análisis
Análisis estático
A través del análisis estático, se encontró que el código sospechoso se localiza en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada, y luego decodifica las direcciones URL maliciosas.
La dirección real decodificada es:
El código malicioso convertirá la información de la llave privada obtenida en una cadena Base58, construirá el cuerpo de la solicitud JSON y lo enviará al servidor indicado por la URL mencionada a través de una solicitud POST.
El método create_coingecko_proxy() se llama al iniciar la aplicación, durante la fase de inicialización del archivo de configuración del método main() en main.rs.
El proyecto se actualizó recientemente en GitHub, con los cambios principales concentrados en el archivo de configuración config.rs en el directorio src. La dirección del servidor del atacante HELIUS_PROXY( ha sido reemplazada por una nueva codificación.
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil de configuración oculta trampas para la filtración de Llave privada])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana ecosistema vuelve a ser víctima de Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Ecosistema de Solana vuelve a experimentar bots maliciosos: perfil oculto que contiene trampa de fuga de llave privada])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ecosistema vuelve a ser víctima de Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![La aparición de Bots maliciosos en el ecosistema de Solana: el archivo de configuración oculta una trampa para la fuga de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![El ecosistema de Solana vuelve a mostrar Bots maliciosos: el perfil ocultaba trampas para la filtración de la llave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana ecosistema repite bots maliciosos: el perfil oculta trampas para la fuga de la llave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ecosistema presenta Bots maliciosos: el perfil oculta la trampa de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana ecosistema vuelve a ser víctima de Bots: el perfil oculta trampas para la transmisión de Llave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas de filtración de Llave privada])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la filtración de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ecosistema vuelve a ver Bots maliciosos: el perfil oculta trampas de transmisión de Llave privada])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana ecosistema vuelve a aparecer Bots maliciosos: el perfil oculta una trampa para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Análisis dinámico
El equipo de investigación escribió un script en Python para generar pares de claves públicas y privadas de Solana para pruebas, y configuró un servidor HTTP capaz de recibir solicitudes POST. Se reemplazó la codificación de la dirección del servidor de prueba por la codificación de la dirección del servidor malicioso establecido por el atacante, y se reemplazó la PRIVATE_KEY en el archivo .env por la clave privada de prueba.
Después de activar el código malicioso, el servidor de pruebas recibió con éxito los datos JSON enviados por el proyecto malicioso, que contienen la información de la Llave privada ### (.
![Reaparición de bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la filtración de llaves privadas])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Reaparición de bots maliciosos en el ecosistema de Solana: el perfil esconde trampas de filtración de la llave privada])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![La ecología de Solana vuelve a presentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil oculta trampas para la filtración de Llave privada])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
Indicadores de intrusión ) IoCs (
IP: 103.35.189.28
Dominio: storebackend-qpq3.onrender.com
Almacén malicioso:
Además, se han encontrado múltiples repositorios de GitHub que utilizan métodos similares.
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Resumen
Este tipo de ataque se disfraza como un proyecto de código abierto legítimo, induciendo a los usuarios a descargar y ejecutar código malicioso. El proyecto leerá información sensible del archivo .env local y transferirá la llave privada robada a un servidor controlado por el atacante.
Se recomienda a los desarrolladores y usuarios que mantengan precaución con los proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones de billetera o llaves privadas. Si es necesario ejecutarlos o depurarlos, debe hacerse en un entorno independiente y sin datos sensibles, evitando ejecutar programas y comandos de origen desconocido.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
8
Republicar
Compartir
Comentar
0/400
MEV_Whisperer
· hace7h
¿De nuevo en manos de los Bots? Las palabras clave copiadas de bot siguen siendo inseguras.
Ver originalesResponder0
LiquidationWizard
· hace9h
Hehe, el tomador de tontos de impuestos sobre el coeficiente intelectual ha llegado de nuevo.
Ver originalesResponder0
WalletWhisperer
· 08-12 18:47
Otra vez veo una estafa de Llave privada sigh
Ver originalesResponder0
ReverseFOMOguy
· 08-10 12:38
Cadena de bloques tontos mueren de manera tan trágica
Ver originalesResponder0
TokenDustCollector
· 08-10 12:29
Cadena de bloques又出金融杀手了
Ver originalesResponder0
LiquidityOracle
· 08-10 12:26
Después de tanto tiempo, otra vez es una fuga de la Llave privada. ¿Cuándo se acabará esto?
Ver originalesResponder0
NoodlesOrTokens
· 08-10 12:25
Es realmente trágico ser robado~ otra víctima más.
Ver originalesResponder0
BuyHighSellLow
· 08-10 12:15
Otra vez comenzó el circo de tomar a la gente por tonta.
Aparecen Bots maliciosos en el ecosistema de Solana, el riesgo de filtración de Llave privada vuelve a surgir.
Solana ecosistema vuelve a ver Bots maliciosos: riesgo de fuga de Llave privada oculta en el archivo de configuración
Recientemente, algunos usuarios han sido víctimas de robos de activos criptográficos debido al uso de un proyecto de código abierto llamado audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Un equipo de investigación de seguridad ha realizado un análisis profundo sobre esto.
Proceso de análisis
Análisis estático
A través del análisis estático, se encontró que el código sospechoso se localiza en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada, y luego decodifica las direcciones URL maliciosas.
La dirección real decodificada es:
El código malicioso convertirá la información de la llave privada obtenida en una cadena Base58, construirá el cuerpo de la solicitud JSON y lo enviará al servidor indicado por la URL mencionada a través de una solicitud POST.
El método create_coingecko_proxy() se llama al iniciar la aplicación, durante la fase de inicialización del archivo de configuración del método main() en main.rs.
El proyecto se actualizó recientemente en GitHub, con los cambios principales concentrados en el archivo de configuración config.rs en el directorio src. La dirección del servidor del atacante HELIUS_PROXY( ha sido reemplazada por una nueva codificación.
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil de configuración oculta trampas para la filtración de Llave privada])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana ecosistema vuelve a ser víctima de Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Ecosistema de Solana vuelve a experimentar bots maliciosos: perfil oculto que contiene trampa de fuga de llave privada])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ecosistema vuelve a ser víctima de Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![La aparición de Bots maliciosos en el ecosistema de Solana: el archivo de configuración oculta una trampa para la fuga de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![El ecosistema de Solana vuelve a mostrar Bots maliciosos: el perfil ocultaba trampas para la filtración de la llave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana ecosistema repite bots maliciosos: el perfil oculta trampas para la fuga de la llave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ecosistema presenta Bots maliciosos: el perfil oculta la trampa de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana ecosistema vuelve a ser víctima de Bots: el perfil oculta trampas para la transmisión de Llave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas de filtración de Llave privada])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la filtración de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ecosistema vuelve a ver Bots maliciosos: el perfil oculta trampas de transmisión de Llave privada])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana ecosistema vuelve a aparecer Bots maliciosos: el perfil oculta una trampa para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Análisis dinámico
El equipo de investigación escribió un script en Python para generar pares de claves públicas y privadas de Solana para pruebas, y configuró un servidor HTTP capaz de recibir solicitudes POST. Se reemplazó la codificación de la dirección del servidor de prueba por la codificación de la dirección del servidor malicioso establecido por el atacante, y se reemplazó la PRIVATE_KEY en el archivo .env por la clave privada de prueba.
Después de activar el código malicioso, el servidor de pruebas recibió con éxito los datos JSON enviados por el proyecto malicioso, que contienen la información de la Llave privada ### (.
![Reaparición de bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la filtración de llaves privadas])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Reaparición de bots maliciosos en el ecosistema de Solana: el perfil esconde trampas de filtración de la llave privada])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![La ecología de Solana vuelve a presentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil oculta trampas para la filtración de Llave privada])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
Indicadores de intrusión ) IoCs (
Además, se han encontrado múltiples repositorios de GitHub que utilizan métodos similares.
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Resumen
Este tipo de ataque se disfraza como un proyecto de código abierto legítimo, induciendo a los usuarios a descargar y ejecutar código malicioso. El proyecto leerá información sensible del archivo .env local y transferirá la llave privada robada a un servidor controlado por el atacante.
Se recomienda a los desarrolladores y usuarios que mantengan precaución con los proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones de billetera o llaves privadas. Si es necesario ejecutarlos o depurarlos, debe hacerse en un entorno independiente y sin datos sensibles, evitando ejecutar programas y comandos de origen desconocido.