Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası özel anahtar sızıntı riski
Son zamanlarda, audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot adlı açık kaynak projesini kullanan bazı kullanıcıların kripto varlıkları çalındı. Güvenlik araştırma ekibi bu durumu derinlemesine analiz etti.
Analiz Süreci
Statik Analiz
Statik analizle, şüpheli kodun /src/common/config.rs yapılandırma dosyasında bulunduğu, esasen create_coingecko_proxy() metodunda yoğunlaştığı tespit edilmiştir. Bu metod öncelikle import_wallet() çağrısını yaparak Özel Anahtar bilgilerini alır, ardından kötü niyetli URL adreslerini çözer.
Çözülmüş gerçek adres:
Kötü niyetli kod, elde edilen Özel Anahtar bilgilerini Base58 dizesine dönüştürerek JSON istek gövdesini oluşturur ve bunu yukarıda belirtilen URL'ye yönlendirilmiş sunucuya POST isteği ile gönderir.
create_coingecko_proxy() metodu uygulama başlatıldığında çağrılır, main.rs içindeki main() metodunun yapılandırma dosyası başlatma aşamasında.
Bu proje yakın zamanda GitHub'da güncellendi, ana değişiklikler src dizinindeki yapılandırma dosyası config.rs üzerinde yoğunlaşıyor, HELIUS_PROXY( saldırgan sunucu adresinin orijinal adres kodlaması yeni kodlama ile değiştirilmiştir.
![Solana ekosisteminde kötü niyetli Botlar yeniden ortaya çıktı: Profilde Özel Anahtar dışarıya sızma tuzağı])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil bilgileri Özel Anahtar sızıntı tuzağını barındırıyor])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil dosyasında Özel Anahtar dışarıya sızma tuzağı])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyası özel anahtar sızdırma tuzağı içeriyor])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyası, özel anahtarın sızdırılma tuzağını barındırıyor])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyası özel anahtar sızdırma tuzağını barındırıyor])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil dosyasında Özel Anahtar dışa aktarım tuzağı])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil dosyası Özel Anahtar sızıntı tuzağı barındırıyor])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası Özel Anahtar sızdırma tuzağı içeriyor])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil ayarlarında Özel Anahtar dışa aktarım tuzağı])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyasında özel anahtar sızdırma tuzağı])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası Özel Anahtar sızdırma tuzağını barındırıyor])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana ekosisteminde kötü niyetli botlar: Profil dosyasında özel anahtar sızdırma tuzağı])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası Özel Anahtar dışa aktarma tuzağı içeriyor])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana ekosisteminde kötü niyetli Botlar yeniden ortaya çıktı: Profil dosyasında Özel Anahtar sızdırma tuzağı])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Dinamik Analiz
Araştırma ekibi, test amaçlı Solana kamu-özel anahtar çiftleri oluşturmak için Python betiği yazdı ve POST isteklerini alabilen bir HTTP sunucusu kurdu. Test sunucusu adres kodunu, saldırganın ayarladığı kötü amaçlı sunucu adres koduyla değiştirdi ve .env dosyasındaki PRIVATE_KEY'i test özel anahtarıyla değiştirdi.
Kötü amaçlı kod başlatıldıktan sonra, test sunucusu kötü niyetli projenin gönderdiği JSON verisini başarıyla aldı, bu veride Özel Anahtar### bilgisi bulunmaktadır.
İstila Göstergeleri ( IoCs )
IP: 103.35.189.28
Alan Adı: storebackend-qpq3.onrender.com
Kötü Niyetli Depo:
Ayrıca benzer yöntemler kullanan birkaç GitHub deposu daha bulundu.
Özet
Bu saldırı tekniği, meşru açık kaynak projeleri gibi davranarak kullanıcıları kötü niyetli kodu indirmeye ve çalıştırmaya teşvik eder. Proje, yerel .env dosyasındaki hassas bilgileri okur ve çalınan özel anahtarı saldırganın kontrolündeki sunucuya iletir.
Geliştiricilerin, özellikle cüzdan veya özel anahtar işlemleriyle ilgili olduğunda, kaynağı belirsiz GitHub projelerine karşı dikkatli olmaları önerilir. Çalıştırmak veya hata ayıklamak gerekirse, bağımsız ve hassas veriler içermeyen bir ortamda yapılmalı, kaynağı belirsiz programlar ve komutlar çalıştırmaktan kaçınılmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
8
Repost
Share
Comment
0/400
MEV_Whisperer
· 7h ago
Yine Botların eline mi düştü? Anahtar kelimeleri kopyalamak bot için yine de güvensiz.
View OriginalReply0
LiquidationWizard
· 9h ago
呵呵 insanları enayi yerine koymak又来了
View OriginalReply0
WalletWhisperer
· 08-12 18:47
Yine Özel Anahtar dolandırıcılığı sigh
View OriginalReply0
ReverseFOMOguy
· 08-10 12:38
Blok Zinciri enayiler çok kötü bir şekilde öldü
View OriginalReply0
TokenDustCollector
· 08-10 12:29
Blok Zinciri yine finansal katil çıkardı
View OriginalReply0
LiquidityOracle
· 08-10 12:26
Uzun zamandır yine Özel Anahtar sızıntısı, ne zaman sona erecek?
View OriginalReply0
NoodlesOrTokens
· 08-10 12:25
Çalınmak gerçekten berbat – bir mağdur daha yattı.
View OriginalReply0
BuyHighSellLow
· 08-10 12:15
Yine Emiciler Tarafından Oyuna Getirilmek sirk başladı.
Solana ekosisteminde kötü niyetli Botlar ortaya çıktı, Özel Anahtar sızıntı riski yeniden gündemde.
Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası özel anahtar sızıntı riski
Son zamanlarda, audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot adlı açık kaynak projesini kullanan bazı kullanıcıların kripto varlıkları çalındı. Güvenlik araştırma ekibi bu durumu derinlemesine analiz etti.
Analiz Süreci
Statik Analiz
Statik analizle, şüpheli kodun /src/common/config.rs yapılandırma dosyasında bulunduğu, esasen create_coingecko_proxy() metodunda yoğunlaştığı tespit edilmiştir. Bu metod öncelikle import_wallet() çağrısını yaparak Özel Anahtar bilgilerini alır, ardından kötü niyetli URL adreslerini çözer.
Çözülmüş gerçek adres:
Kötü niyetli kod, elde edilen Özel Anahtar bilgilerini Base58 dizesine dönüştürerek JSON istek gövdesini oluşturur ve bunu yukarıda belirtilen URL'ye yönlendirilmiş sunucuya POST isteği ile gönderir.
create_coingecko_proxy() metodu uygulama başlatıldığında çağrılır, main.rs içindeki main() metodunun yapılandırma dosyası başlatma aşamasında.
Bu proje yakın zamanda GitHub'da güncellendi, ana değişiklikler src dizinindeki yapılandırma dosyası config.rs üzerinde yoğunlaşıyor, HELIUS_PROXY( saldırgan sunucu adresinin orijinal adres kodlaması yeni kodlama ile değiştirilmiştir.
![Solana ekosisteminde kötü niyetli Botlar yeniden ortaya çıktı: Profilde Özel Anahtar dışarıya sızma tuzağı])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil bilgileri Özel Anahtar sızıntı tuzağını barındırıyor])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil dosyasında Özel Anahtar dışarıya sızma tuzağı])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyası özel anahtar sızdırma tuzağı içeriyor])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyası, özel anahtarın sızdırılma tuzağını barındırıyor])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyası özel anahtar sızdırma tuzağını barındırıyor])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil dosyasında Özel Anahtar dışa aktarım tuzağı])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil dosyası Özel Anahtar sızıntı tuzağı barındırıyor])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası Özel Anahtar sızdırma tuzağı içeriyor])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana ekosisteminde kötü niyetli Botlar: Profil ayarlarında Özel Anahtar dışa aktarım tuzağı])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyasında özel anahtar sızdırma tuzağı])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası Özel Anahtar sızdırma tuzağını barındırıyor])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana ekosisteminde kötü niyetli botlar: Profil dosyasında özel anahtar sızdırma tuzağı])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası Özel Anahtar dışa aktarma tuzağı içeriyor])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana ekosisteminde kötü niyetli Botlar yeniden ortaya çıktı: Profil dosyasında Özel Anahtar sızdırma tuzağı])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Dinamik Analiz
Araştırma ekibi, test amaçlı Solana kamu-özel anahtar çiftleri oluşturmak için Python betiği yazdı ve POST isteklerini alabilen bir HTTP sunucusu kurdu. Test sunucusu adres kodunu, saldırganın ayarladığı kötü amaçlı sunucu adres koduyla değiştirdi ve .env dosyasındaki PRIVATE_KEY'i test özel anahtarıyla değiştirdi.
Kötü amaçlı kod başlatıldıktan sonra, test sunucusu kötü niyetli projenin gönderdiği JSON verisini başarıyla aldı, bu veride Özel Anahtar### bilgisi bulunmaktadır.
İstila Göstergeleri ( IoCs )
Ayrıca benzer yöntemler kullanan birkaç GitHub deposu daha bulundu.
Özet
Bu saldırı tekniği, meşru açık kaynak projeleri gibi davranarak kullanıcıları kötü niyetli kodu indirmeye ve çalıştırmaya teşvik eder. Proje, yerel .env dosyasındaki hassas bilgileri okur ve çalınan özel anahtarı saldırganın kontrolündeki sunucuya iletir.
Geliştiricilerin, özellikle cüzdan veya özel anahtar işlemleriyle ilgili olduğunda, kaynağı belirsiz GitHub projelerine karşı dikkatli olmaları önerilir. Çalıştırmak veya hata ayıklamak gerekirse, bağımsız ve hassas veriler içermeyen bir ortamda yapılmalı, kaynağı belirsiz programlar ve komutlar çalıştırmaktan kaçınılmalıdır.