Ekosistem Solana kembali muncul Bot jahat: risiko pengiriman Kunci Pribadi yang tersembunyi dalam file konfigurasi
Baru-baru ini, beberapa pengguna kehilangan aset kripto karena menggunakan proyek sumber terbuka bernama audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Tim penelitian keamanan telah melakukan analisis mendalam terhadap hal ini.
Proses Analisis
Analisis Statik
Melalui analisis statis, ditemukan kode mencurigakan yang terletak di dalam file konfigurasi /src/common/config.rs, yang terutama terfokus pada metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet() untuk mendapatkan informasi Kunci Pribadi, kemudian mendekode alamat URL jahat.
Alamat asli yang terdekripsi adalah:
Kode jahat akan mengubah informasi kunci pribadi yang didapat menjadi string Base58, membangun tubuh permintaan JSON, dan mengirimkannya melalui permintaan POST ke server yang ditunjuk oleh URL di atas.
metode create_coingecko_proxy() dipanggil saat aplikasi diluncurkan, terletak di fase inisialisasi file konfigurasi metode main() dalam main.rs.
Proyek ini baru-baru ini diperbarui di GitHub, perubahan utama terfokus pada file konfigurasi config.rs di direktori src, alamat server penyerang HELIUS_PROXY( yang asli telah diganti dengan pengkodean baru.
![Solana ekosistem kembali muncul Bot jahat: File konfigurasi menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Ekosistem Solana kembali muncul Bot jahat: profil konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana ekosistem kembali muncul Bot jahat: file konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ekosistem kembali menunjukkan bot jahat: profil konfigurasi menyimpan jebakan pengiriman kunci pribadi])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ekosistem muncul kembali dengan Bot jahat: profil konfigurasi menyembunyikan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana ekosistem kembali muncul Bot jahat: profil tersembunyi menjerat Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Analisis Dinamis
Tim penelitian telah menulis skrip Python untuk menghasilkan pasangan kunci publik dan privat Solana untuk pengujian, dan membangun server HTTP yang dapat menerima permintaan POST. Mengganti alamat server pengujian yang dikodekan dengan alamat server jahat yang diatur oleh penyerang, dan mengganti PRIVATE_KEY dalam file .env dengan kunci privat untuk pengujian.
Setelah memulai kode berbahaya, server pengujian berhasil menerima data JSON yang dikirim oleh proyek berbahaya, yang berisi Kunci Pribadi### informasi.
Indikator Infiltrasi ( IoCs )
IP: 103.35.189.28
Domain: storebackend-qpq3.onrender.com
Gudang Jahat:
Selain itu, juga ditemukan beberapa repositori GitHub yang menggunakan metode serupa.
Ringkasan
Metode serangan ini menyamar sebagai proyek sumber terbuka yang sah, membujuk pengguna untuk mengunduh dan menjalankan kode berbahaya. Proyek ini akan membaca informasi sensitif dari file .env lokal, dan mentransfer Kunci Pribadi yang dicuri ke server yang dikendalikan oleh penyerang.
Disarankan kepada pengembang dan pengguna untuk tetap waspada terhadap proyek GitHub yang tidak jelas asal-usulnya, terutama yang melibatkan operasi dompet atau Kunci Pribadi. Jika perlu menjalankan atau men-debug, harus dilakukan di lingkungan yang terpisah dan tanpa data sensitif, untuk menghindari menjalankan program dan perintah yang tidak jelas asal-usulnya.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
9 Suka
Hadiah
9
8
Posting ulang
Bagikan
Komentar
0/400
MEV_Whisperer
· 5jam yang lalu
Sudah jatuh ke tangan Bot lagi? Menyalin kata kunci bot masih tidak aman.
Lihat AsliBalas0
LiquidationWizard
· 7jam yang lalu
Hehe, mesin pemungut pajak IQ datang lagi.
Lihat AsliBalas0
WalletWhisperer
· 22jam yang lalu
又见Kunci Pribadi诈骗 sigh
Lihat AsliBalas0
ReverseFOMOguy
· 08-10 12:38
Blockchain suckers mati sangat tragis
Lihat AsliBalas0
TokenDustCollector
· 08-10 12:29
Blockchain lagi muncul pembunuh finansial
Lihat AsliBalas0
LiquidityOracle
· 08-10 12:26
Sudah lama sekali lagi tentang Kunci Pribadi bocor, kapan ini akan berakhir?
Lihat AsliBalas0
NoodlesOrTokens
· 08-10 12:25
Dicuri benar-benar menyedihkan~satu lagi korban tergeletak
Lihat AsliBalas0
BuyHighSellLow
· 08-10 12:15
Sekali lagi, sirkus yang dianggap bodoh telah dimulai.
Solana ekosistem muncul Bot jahat, risiko kebocoran Kunci Pribadi kembali muncul
Ekosistem Solana kembali muncul Bot jahat: risiko pengiriman Kunci Pribadi yang tersembunyi dalam file konfigurasi
Baru-baru ini, beberapa pengguna kehilangan aset kripto karena menggunakan proyek sumber terbuka bernama audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Tim penelitian keamanan telah melakukan analisis mendalam terhadap hal ini.
Proses Analisis
Analisis Statik
Melalui analisis statis, ditemukan kode mencurigakan yang terletak di dalam file konfigurasi /src/common/config.rs, yang terutama terfokus pada metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet() untuk mendapatkan informasi Kunci Pribadi, kemudian mendekode alamat URL jahat.
Alamat asli yang terdekripsi adalah:
Kode jahat akan mengubah informasi kunci pribadi yang didapat menjadi string Base58, membangun tubuh permintaan JSON, dan mengirimkannya melalui permintaan POST ke server yang ditunjuk oleh URL di atas.
metode create_coingecko_proxy() dipanggil saat aplikasi diluncurkan, terletak di fase inisialisasi file konfigurasi metode main() dalam main.rs.
Proyek ini baru-baru ini diperbarui di GitHub, perubahan utama terfokus pada file konfigurasi config.rs di direktori src, alamat server penyerang HELIUS_PROXY( yang asli telah diganti dengan pengkodean baru.
![Solana ekosistem kembali muncul Bot jahat: File konfigurasi menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Ekosistem Solana kembali muncul Bot jahat: profil konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana ekosistem kembali muncul Bot jahat: file konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana生态再现恶意机器人:配置文件暗藏Kunci Pribadi外传陷阱])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Ekosistem Solana menghadirkan Bot jahat: File konfigurasi menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana生态再现恶意机器人:配置文件暗藏Kunci Pribadi外传陷阱])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana ekosistem kembali menunjukkan bot jahat: profil konfigurasi menyimpan jebakan pengiriman kunci pribadi])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ekosistem muncul kembali dengan Bot jahat: profil konfigurasi menyembunyikan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Ekosistem Solana menunjukkan Bot jahat: Profil menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana生态再现恶意Bot:配置文件暗藏Kunci Pribadi外传陷阱])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana ekosistem kembali muncul Bot jahat: file konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana生态再现恶意Bot:配置文件暗藏Kunci Pribadi外传陷阱])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana ekosistem muncul kembali Bot jahat: profil konfigurasi menyembunyikan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Ekosistem Solana menghadirkan Bot jahat: Profil konfigurasi menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana ekosistem kembali muncul Bot jahat: profil tersembunyi menjerat Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Analisis Dinamis
Tim penelitian telah menulis skrip Python untuk menghasilkan pasangan kunci publik dan privat Solana untuk pengujian, dan membangun server HTTP yang dapat menerima permintaan POST. Mengganti alamat server pengujian yang dikodekan dengan alamat server jahat yang diatur oleh penyerang, dan mengganti PRIVATE_KEY dalam file .env dengan kunci privat untuk pengujian.
Setelah memulai kode berbahaya, server pengujian berhasil menerima data JSON yang dikirim oleh proyek berbahaya, yang berisi Kunci Pribadi### informasi.
Indikator Infiltrasi ( IoCs )
Selain itu, juga ditemukan beberapa repositori GitHub yang menggunakan metode serupa.
Ringkasan
Metode serangan ini menyamar sebagai proyek sumber terbuka yang sah, membujuk pengguna untuk mengunduh dan menjalankan kode berbahaya. Proyek ini akan membaca informasi sensitif dari file .env lokal, dan mentransfer Kunci Pribadi yang dicuri ke server yang dikendalikan oleh penyerang.
Disarankan kepada pengembang dan pengguna untuk tetap waspada terhadap proyek GitHub yang tidak jelas asal-usulnya, terutama yang melibatkan operasi dompet atau Kunci Pribadi. Jika perlu menjalankan atau men-debug, harus dilakukan di lingkungan yang terpisah dan tanpa data sensitif, untuk menghindari menjalankan program dan perintah yang tidak jelas asal-usulnya.