Ecossistema Solana apresenta novamente Bots maliciosos: armadilha de vazamento de chave privada oculta no arquivo de configuração
No início de julho de 2025, um usuário pediu ajuda à equipe de segurança, solicitando a análise da razão pela qual seus ativos criptográficos foram roubados. A investigação descobriu que o evento se originou do uso de um projeto de código aberto hospedado no GitHub, que desencadeou um comportamento oculto de roubo de moedas.
Recentemente, mais usuários tiveram seus ativos roubados devido ao uso de projetos de código aberto semelhantes e entraram em contato com a equipe de segurança. Em resposta, a equipe analisou mais a fundo essa técnica de ataque.
Processo de Análise
Análise estática
Através da análise estática, foi descoberto que o código suspeito está localizado no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método chama primeiro import_wallet(), que por sua vez chama import_env_var() para obter a Chave privada.
O método import_env_var() é utilizado para obter informações de configuração de variáveis de ambiente no arquivo .env. Se a variável de ambiente não existir, entrará na ramificação de tratamento de erros e continuará a consumir recursos.
As informações sensíveis como a CHAVE PRIVADA são armazenadas no arquivo .env. O método import_wallet() obtém a chave privada e, em seguida, verifica seu comprimento:
Se for menor que 85, imprima uma mensagem de erro e continue a consumir recursos
Se for maior que 85, converta a string Base58 em um objeto Keypair que contém a Chave privada.
Em seguida, o código malicioso encapsula as informações da chave privada para suportar o compartilhamento multithread.
método create_coingecko_proxy() após obter a chave privada, decodifica URLs maliciosas. O endereço real decodificado é:
Código malicioso converte a chave privada em uma string Base58, constrói o corpo da solicitação JSON e envia através de uma solicitação POST para a URL acima, ignorando ao mesmo tempo o resultado da resposta.
Além disso, o método também inclui funções normais como a obtenção de preços, para encobrir comportamentos maliciosos. O nome do método também foi disfarçado, sendo enganador.
O método create_coingecko_proxy() é chamado na inicialização da aplicação, localizado na fase de inicialização do arquivo de configuração do método main() em main.rs.
Segundo a análise, o endereço IP do servidor está localizado nos Estados Unidos.
O projeto foi atualizado no GitHub a 17 de julho de 2025, com alterações principais concentradas no arquivo de configuração config.rs na diretoria src. A codificação do endereço do servidor do atacante foi substituída por uma nova codificação.
Análise dinâmica
Para observar visualmente o processo de roubo, escreva um script em Python para gerar um par de chaves pública e privada Solana para testes, e configure um servidor HTTP no servidor para receber solicitações POST.
Substitua o código de endereço do servidor de teste gerado pelo código de endereço do servidor malicioso configurado pelo atacante e substitua a chave privada no arquivo .env pela chave privada de teste.
Após a ativação do código malicioso, o servidor de teste recebeu com sucesso os dados JSON enviados pelo projeto malicioso, os quais contêm informações da chave privada.
Indicadores de invasão ( IoCs )
IP地址:103.35.189.28
Domínio:storebackend-qpq3.onrender.com
Repositório malicioso:
Repositórios semelhantes com métodos de implementação:
Resumo
Nesta ataque, os atacantes disfarçaram-se como um projeto de código aberto legítimo, induzindo os usuários a descarregar e executar código malicioso. O projeto lê informações sensíveis do arquivo .env local e transfere a chave privada roubada para um servidor controlado pelos atacantes. Este tipo de ataque geralmente combina técnicas de engenharia social, e os usuários podem facilmente ser vítimas se não tiverem cuidado.
Recomenda-se que os desenvolvedores mantenham uma elevada vigilância em relação a projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Caso seja necessário executar ou depurar, recomenda-se fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos maliciosos de origem desconhecida.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
5
Compartilhar
Comentário
0/400
HallucinationGrower
· 07-25 04:45
Aconteceu outra vez, por isso eu nunca uso sol.
Ver originalResponder0
GasWaster
· 07-25 04:37
Então você está atacando o meu grande sol novamente?
Ver originalResponder0
GasFeeNightmare
· 07-25 04:33
Ainda querem fazer as pessoas de parvas? Já foram todas feitas por vocês.
Ver originalResponder0
BlockTalk
· 07-25 04:26
Outra leva de idiotas vai fazer as pessoas de parvas
Código malicioso reaparece no ecossistema Solana, projeto no GitHub esconde armadilha para roubo de Chave privada.
Ecossistema Solana apresenta novamente Bots maliciosos: armadilha de vazamento de chave privada oculta no arquivo de configuração
No início de julho de 2025, um usuário pediu ajuda à equipe de segurança, solicitando a análise da razão pela qual seus ativos criptográficos foram roubados. A investigação descobriu que o evento se originou do uso de um projeto de código aberto hospedado no GitHub, que desencadeou um comportamento oculto de roubo de moedas.
Recentemente, mais usuários tiveram seus ativos roubados devido ao uso de projetos de código aberto semelhantes e entraram em contato com a equipe de segurança. Em resposta, a equipe analisou mais a fundo essa técnica de ataque.
Processo de Análise
Análise estática
Através da análise estática, foi descoberto que o código suspeito está localizado no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método chama primeiro import_wallet(), que por sua vez chama import_env_var() para obter a Chave privada.
O método import_env_var() é utilizado para obter informações de configuração de variáveis de ambiente no arquivo .env. Se a variável de ambiente não existir, entrará na ramificação de tratamento de erros e continuará a consumir recursos.
As informações sensíveis como a CHAVE PRIVADA são armazenadas no arquivo .env. O método import_wallet() obtém a chave privada e, em seguida, verifica seu comprimento:
Em seguida, o código malicioso encapsula as informações da chave privada para suportar o compartilhamento multithread.
método create_coingecko_proxy() após obter a chave privada, decodifica URLs maliciosas. O endereço real decodificado é:
Código malicioso converte a chave privada em uma string Base58, constrói o corpo da solicitação JSON e envia através de uma solicitação POST para a URL acima, ignorando ao mesmo tempo o resultado da resposta.
Além disso, o método também inclui funções normais como a obtenção de preços, para encobrir comportamentos maliciosos. O nome do método também foi disfarçado, sendo enganador.
O método create_coingecko_proxy() é chamado na inicialização da aplicação, localizado na fase de inicialização do arquivo de configuração do método main() em main.rs.
Segundo a análise, o endereço IP do servidor está localizado nos Estados Unidos.
O projeto foi atualizado no GitHub a 17 de julho de 2025, com alterações principais concentradas no arquivo de configuração config.rs na diretoria src. A codificação do endereço do servidor do atacante foi substituída por uma nova codificação.
Análise dinâmica
Para observar visualmente o processo de roubo, escreva um script em Python para gerar um par de chaves pública e privada Solana para testes, e configure um servidor HTTP no servidor para receber solicitações POST.
Substitua o código de endereço do servidor de teste gerado pelo código de endereço do servidor malicioso configurado pelo atacante e substitua a chave privada no arquivo .env pela chave privada de teste.
Após a ativação do código malicioso, o servidor de teste recebeu com sucesso os dados JSON enviados pelo projeto malicioso, os quais contêm informações da chave privada.
Indicadores de invasão ( IoCs )
IP地址:103.35.189.28
Domínio:storebackend-qpq3.onrender.com
Repositório malicioso:
Repositórios semelhantes com métodos de implementação:
Resumo
Nesta ataque, os atacantes disfarçaram-se como um projeto de código aberto legítimo, induzindo os usuários a descarregar e executar código malicioso. O projeto lê informações sensíveis do arquivo .env local e transfere a chave privada roubada para um servidor controlado pelos atacantes. Este tipo de ataque geralmente combina técnicas de engenharia social, e os usuários podem facilmente ser vítimas se não tiverem cuidado.
Recomenda-se que os desenvolvedores mantenham uma elevada vigilância em relação a projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Caso seja necessário executar ou depurar, recomenda-se fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos maliciosos de origem desconhecida.