В екосистемі Solana знову з'явилися зловмисні Боти: ризик витоку Закритого ключа через приховані конфігураційні файли
Нещодавно деякі користувачі втратили криптоактиви через використання відкритого проєкту під назвою audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Команда з питань безпеки провела глибокий аналіз цього випадку.
Процес аналізу
Статичний аналіз
За допомогою статичного аналізу виявлено підозрілий код у файлі конфігурації /src/common/config.rs, який в основному зосереджений у методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ інформації, а потім декодує шкідливі URL-адреси.
Декодована реальна адреса:
Зловмисний код перетворить отриману інформацію про закритий ключ у рядок Base58, створить JSON тіло запиту та надішле його на сервер, вказаний у вищезгаданому URL через POST запит.
метод create_coingecko_proxy() викликається під час запуску додатка, знаходиться на етапі ініціалізації конфігураційного файлу методу main() у main.rs.
Проект нещодавно був оновлений на GitHub, основні зміни зосереджені в конфігураційному файлі config.rs у каталозі src, попередня адреса сервера зловмисника HELIUS_PROXY( була замінена на нове кодування.
![Solana екосистема знову відзначається зловмисними Ботами: конфігураційний файл приховує пастку для витоку Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Повернення зловмисних ботів в екосистемі Solana: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana екосистема знову піддається атаці зловмисних ботів: конфігураційний файл містить пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana екосистема знову зазнає нападу зловмисних ботів: конфігураційний файл приховує пастку для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana екосистема знову піддається атаці зловмисних ботів: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Зловмисні боти знову з'явилися в екосистемі Solana: в профілі прихована пастка для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana екосистема знову під загрозою зловмисних ботів: профіль приховує пастку для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana екосистема знову зазнала атаки зловмисних ботів: в конфігураційних файлах приховані пастки для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana екосистема знову під загрозою зловмисних Ботів: конфігураційний файл приховує пастку для витоку Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana екосистема знову під загрозою через злочинних ботів: у профілі приховані пастки для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana екосистема знову під загрозою від злочинних Ботів: у профілі приховані пастки для витоку Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana екосистема знову стала жертвою malicious ботов: профіль приховує пастку для витоку Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Зловмисні боти в екосистемі Solana: файл конфігурації приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana екосистема знову стала жертвою злочинних ботів: профіль приховує пастку для витоку Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana екосистема знову зі зловмисними Ботами: конфігураційний файл приховує пастку для витоку Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Динамічний аналіз
Дослідницька команда написала Python-скрипт для генерації тестових пар Solana публічних і приватних ключів, а також налаштувала HTTP-сервер, який може приймати POST-запити. Замініть закодовану адресу тестового сервера на закодовану адресу шкідливого сервера, встановленого зловмисником, і замініть PRIVATE_KEY у файлі .env на тестовий закритий ключ.
Після запуску шкідливого коду, тестовий сервер успішно отримав JSON-дані, надіслані шкідливим проектом, які містять Закритий ключ### інформацію.
Вказники вторгнення(IoCs)
ІР: 103.35.189.28
Доменне ім'я: storebackend-qpq3.onrender.com
Зловмисний репозиторій:
Крім того, виявлено кілька репозиторіїв GitHub, які використовують подібні методи.
Підсумок
Цей метод атаки маскується під легітимний відкритий проект, спонукаючи користувачів завантажувати та виконувати шкідливий код. Проект буде зчитувати чутливу інформацію з локального файлу .env і передавати вкрадені закриті ключі на сервер, що контролюється зловмисником.
Рекомендується розробникам та користувачам бути обережними з проектами на GitHub, джерело яких невідоме, особливо коли йдеться про операції з гаманцями або закритими ключами. Якщо потрібно запустити або налагодити, це слід робити в ізольованому середовищі без чутливих даних, уникаючи виконання програм і команд, джерело яких невідоме.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
8
Репост
Поділіться
Прокоментувати
0/400
MEV_Whisperer
· 7год тому
Знову потрапили в руки Бота? Ключові слова копіювати ботом все ще небезпечно
Переглянути оригіналвідповісти на0
LiquidationWizard
· 9год тому
Хе-хе, обдурювати людей, як лохів, знову прийшов.
Переглянути оригіналвідповісти на0
WalletWhisperer
· 08-12 18:47
Знову бачу шахрайство з закритими ключами sigh
Переглянути оригіналвідповісти на0
ReverseFOMOguy
· 08-10 12:38
Блокчейн невдахи померли так жахливо
Переглянути оригіналвідповісти на0
TokenDustCollector
· 08-10 12:29
Блокчейн знову випустив фінансового вбивцю
Переглянути оригіналвідповісти на0
LiquidityOracle
· 08-10 12:26
Скільки часу ще буде витік закритого ключа? Коли це закінчиться?
Переглянути оригіналвідповісти на0
NoodlesOrTokens
· 08-10 12:25
Справді жахливо, що вкрали – знову постраждала жертва.
В екосистемі Solana з'явилися зловмисні боти, ризик витоку закритих ключів знову зростає
В екосистемі Solana знову з'явилися зловмисні Боти: ризик витоку Закритого ключа через приховані конфігураційні файли
Нещодавно деякі користувачі втратили криптоактиви через використання відкритого проєкту під назвою audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Команда з питань безпеки провела глибокий аналіз цього випадку.
Процес аналізу
Статичний аналіз
За допомогою статичного аналізу виявлено підозрілий код у файлі конфігурації /src/common/config.rs, який в основному зосереджений у методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ інформації, а потім декодує шкідливі URL-адреси.
Декодована реальна адреса:
Зловмисний код перетворить отриману інформацію про закритий ключ у рядок Base58, створить JSON тіло запиту та надішле його на сервер, вказаний у вищезгаданому URL через POST запит.
метод create_coingecko_proxy() викликається під час запуску додатка, знаходиться на етапі ініціалізації конфігураційного файлу методу main() у main.rs.
Проект нещодавно був оновлений на GitHub, основні зміни зосереджені в конфігураційному файлі config.rs у каталозі src, попередня адреса сервера зловмисника HELIUS_PROXY( була замінена на нове кодування.
![Solana екосистема знову відзначається зловмисними Ботами: конфігураційний файл приховує пастку для витоку Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Повернення зловмисних ботів в екосистемі Solana: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana екосистема знову піддається атаці зловмисних ботів: конфігураційний файл містить пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana екосистема знову зазнає нападу зловмисних ботів: конфігураційний файл приховує пастку для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana екосистема знову піддається атаці зловмисних ботів: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Зловмисні боти знову з'явилися в екосистемі Solana: в профілі прихована пастка для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana екосистема знову під загрозою зловмисних ботів: профіль приховує пастку для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana екосистема знову зазнала атаки зловмисних ботів: в конфігураційних файлах приховані пастки для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana екосистема знову під загрозою зловмисних Ботів: конфігураційний файл приховує пастку для витоку Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana екосистема знову під загрозою через злочинних ботів: у профілі приховані пастки для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana екосистема знову під загрозою від злочинних Ботів: у профілі приховані пастки для витоку Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana екосистема знову стала жертвою malicious ботов: профіль приховує пастку для витоку Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Зловмисні боти в екосистемі Solana: файл конфігурації приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana екосистема знову стала жертвою злочинних ботів: профіль приховує пастку для витоку Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana екосистема знову зі зловмисними Ботами: конфігураційний файл приховує пастку для витоку Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Динамічний аналіз
Дослідницька команда написала Python-скрипт для генерації тестових пар Solana публічних і приватних ключів, а також налаштувала HTTP-сервер, який може приймати POST-запити. Замініть закодовану адресу тестового сервера на закодовану адресу шкідливого сервера, встановленого зловмисником, і замініть PRIVATE_KEY у файлі .env на тестовий закритий ключ.
Після запуску шкідливого коду, тестовий сервер успішно отримав JSON-дані, надіслані шкідливим проектом, які містять Закритий ключ### інформацію.
Вказники вторгнення(IoCs)
Крім того, виявлено кілька репозиторіїв GitHub, які використовують подібні методи.
Підсумок
Цей метод атаки маскується під легітимний відкритий проект, спонукаючи користувачів завантажувати та виконувати шкідливий код. Проект буде зчитувати чутливу інформацію з локального файлу .env і передавати вкрадені закриті ключі на сервер, що контролюється зловмисником.
Рекомендується розробникам та користувачам бути обережними з проектами на GitHub, джерело яких невідоме, особливо коли йдеться про операції з гаманцями або закритими ключами. Якщо потрібно запустити або налагодити, це слід робити в ізольованому середовищі без чутливих даних, уникаючи виконання програм і команд, джерело яких невідоме.