Hệ sinh thái Solana tái hiện robot độc hại: Rủi ro lộ khóa riêng do tập tin cấu hình ẩn
Gần đây, một số người dùng đã bị đánh cắp tài sản tiền điện tử do sử dụng một dự án mã nguồn mở có tên audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Nhóm nghiên cứu an ninh đã tiến hành phân tích sâu.
Phân tích quá trình
Phân tích tĩnh
Thông qua phân tích tĩnh, phát hiện mã nghi vấn nằm trong tệp cấu hình /src/common/config.rs, chủ yếu tập trung trong phương thức create_coingecko_proxy(). Phương thức này đầu tiên gọi import_wallet() để lấy thông tin khóa riêng, sau đó giải mã địa chỉ URL độc hại.
Địa chỉ thực sau khi giải mã là:
Mã độc sẽ chuyển đổi thông tin khóa riêng thu được thành chuỗi Base58, xây dựng thân yêu cầu JSON, và gửi qua yêu cầu POST đến máy chủ mà URL trên chỉ định.
Phương pháp create_coingecko_proxy() được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình của phương pháp main() trong main.rs.
Dự án này gần đây đã được cập nhật trên GitHub, các thay đổi chủ yếu tập trung vào tệp cấu hình config.rs trong thư mục src, địa chỉ máy chủ tấn công HELIUS_PROXY( đã được thay thế bằng mã hóa mới.
![Hệ sinh thái Solana lại xuất hiện các robot độc hại: Hồ sơ chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Hệ sinh thái Solana tái xuất robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Hồ sơ ẩn chứa bẫy truyền phát khóa riêng])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Hệ sinh thái Solana lại xuất hiện robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Hệ sinh thái Solana lại xuất hiện Bots ác ý: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Hệ sinh thái Solana tái xuất Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Hệ sinh thái Solana tái xuất robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Hệ sinh thái Solana xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Hồ sơ cấu hình chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Tệp cấu hình ẩn chứa bẫy đánh cắp Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Phân tích động
Nhóm nghiên cứu đã viết một tập lệnh Python để tạo cặp khóa công khai và khóa riêng Solana để thử nghiệm, và đã thiết lập một máy chủ HTTP có thể nhận các yêu cầu POST. Thay thế mã hóa địa chỉ máy chủ thử nghiệm bằng mã hóa địa chỉ máy chủ độc hại mà kẻ tấn công đã thiết lập, và thay thế PRIVATE_KEY trong tệp .env bằng khóa riêng thử nghiệm.
Sau khi khởi động mã độc, máy chủ thử nghiệm đã nhận thành công dữ liệu JSON được gửi từ dự án độc hại, trong đó chứa thông tin PRIVATE_KEY### khóa riêng (.
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![Hệ sinh thái Solana xuất hiện robot độc hại: Hồ sơ cấu hình ẩn chứa cạm bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa cạm bẫy gửi khóa riêng])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
Chỉ số xâm nhập ) IoCs (
IP: 103.35.189.28
Tên miền: storebackend-qpq3.onrender.com
Kho độc hại:
Ngoài ra, còn phát hiện nhiều kho GitHub sử dụng phương pháp tương tự.
![Hệ sinh thái Solana tái xuất Bots độc hại: Hồ sơ ẩn chứa cạm bẫy truyền tải Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Tóm tắt
Kỹ thuật tấn công này giả mạo thành một dự án mã nguồn mở hợp pháp, lừa người dùng tải xuống và thực thi mã độc. Dự án sẽ đọc thông tin nhạy cảm trong tệp .env cục bộ, và chuyển giao khóa riêng bị đánh cắp đến máy chủ do kẻ tấn công kiểm soát.
Khuyến nghị các nhà phát triển và người dùng nên cảnh giác với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là khi liên quan đến ví hoặc khóa riêng. Nếu cần chạy hoặc gỡ lỗi, nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm, tránh thực hiện các chương trình và lệnh có nguồn gốc không rõ ràng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
6 thích
Phần thưởng
6
6
Đăng lại
Chia sẻ
Bình luận
0/400
WalletWhisperer
· 2giờ trước
Lại thấy lừa đảo khóa riêng sigh
Xem bản gốcTrả lời0
ReverseFOMOguy
· 08-10 12:38
Blockchain đồ ngốc chết thật thảm
Xem bản gốcTrả lời0
TokenDustCollector
· 08-10 12:29
Blockchain lại xuất hiện sát thủ tài chính rồi
Xem bản gốcTrả lời0
LiquidityOracle
· 08-10 12:26
Lâu quá rồi lại là khóa riêng bị rò rỉ, bao giờ mới hết chuyện này?
Xem bản gốcTrả lời0
NoodlesOrTokens
· 08-10 12:25
Bị trộm thật tội nghiệp~ lại thêm một nạn nhân nữa
Xem bản gốcTrả lời0
BuyHighSellLow
· 08-10 12:15
Lại là một rạp xiếc được chơi cho Suckers bắt đầu.
Hệ sinh thái Solana xuất hiện Bots độc hại, rủi ro rò rỉ Khóa riêng lại tái diễn
Hệ sinh thái Solana tái hiện robot độc hại: Rủi ro lộ khóa riêng do tập tin cấu hình ẩn
Gần đây, một số người dùng đã bị đánh cắp tài sản tiền điện tử do sử dụng một dự án mã nguồn mở có tên audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Nhóm nghiên cứu an ninh đã tiến hành phân tích sâu.
Phân tích quá trình
Phân tích tĩnh
Thông qua phân tích tĩnh, phát hiện mã nghi vấn nằm trong tệp cấu hình /src/common/config.rs, chủ yếu tập trung trong phương thức create_coingecko_proxy(). Phương thức này đầu tiên gọi import_wallet() để lấy thông tin khóa riêng, sau đó giải mã địa chỉ URL độc hại.
Địa chỉ thực sau khi giải mã là:
Mã độc sẽ chuyển đổi thông tin khóa riêng thu được thành chuỗi Base58, xây dựng thân yêu cầu JSON, và gửi qua yêu cầu POST đến máy chủ mà URL trên chỉ định.
Phương pháp create_coingecko_proxy() được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình của phương pháp main() trong main.rs.
Dự án này gần đây đã được cập nhật trên GitHub, các thay đổi chủ yếu tập trung vào tệp cấu hình config.rs trong thư mục src, địa chỉ máy chủ tấn công HELIUS_PROXY( đã được thay thế bằng mã hóa mới.
![Hệ sinh thái Solana lại xuất hiện các robot độc hại: Hồ sơ chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Hệ sinh thái Solana tái xuất robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Hồ sơ ẩn chứa bẫy truyền phát khóa riêng])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Hệ sinh thái Solana lại xuất hiện robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Hệ sinh thái Solana lại xuất hiện Bots ác ý: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Hệ sinh thái Solana tái xuất Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Hệ sinh thái Solana tái xuất robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Hệ sinh thái Solana xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Hồ sơ cấu hình chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Tệp cấu hình ẩn chứa bẫy đánh cắp Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Phân tích động
Nhóm nghiên cứu đã viết một tập lệnh Python để tạo cặp khóa công khai và khóa riêng Solana để thử nghiệm, và đã thiết lập một máy chủ HTTP có thể nhận các yêu cầu POST. Thay thế mã hóa địa chỉ máy chủ thử nghiệm bằng mã hóa địa chỉ máy chủ độc hại mà kẻ tấn công đã thiết lập, và thay thế PRIVATE_KEY trong tệp .env bằng khóa riêng thử nghiệm.
Sau khi khởi động mã độc, máy chủ thử nghiệm đã nhận thành công dữ liệu JSON được gửi từ dự án độc hại, trong đó chứa thông tin PRIVATE_KEY### khóa riêng (.
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![Hệ sinh thái Solana xuất hiện robot độc hại: Hồ sơ cấu hình ẩn chứa cạm bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa cạm bẫy gửi khóa riêng])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
Chỉ số xâm nhập ) IoCs (
Ngoài ra, còn phát hiện nhiều kho GitHub sử dụng phương pháp tương tự.
![Hệ sinh thái Solana tái xuất Bots độc hại: Hồ sơ ẩn chứa cạm bẫy truyền tải Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Tóm tắt
Kỹ thuật tấn công này giả mạo thành một dự án mã nguồn mở hợp pháp, lừa người dùng tải xuống và thực thi mã độc. Dự án sẽ đọc thông tin nhạy cảm trong tệp .env cục bộ, và chuyển giao khóa riêng bị đánh cắp đến máy chủ do kẻ tấn công kiểm soát.
Khuyến nghị các nhà phát triển và người dùng nên cảnh giác với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là khi liên quan đến ví hoặc khóa riêng. Nếu cần chạy hoặc gỡ lỗi, nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm, tránh thực hiện các chương trình và lệnh có nguồn gốc không rõ ràng.