Hệ sinh thái Solana lại xuất hiện Bots độc hại: Tập tin cấu hình ẩn chứa bẫy rò rỉ Khóa riêng
Vào đầu tháng 7 năm 2025, một người dùng đã yêu cầu sự trợ giúp từ đội ngũ an ninh, yêu cầu phân tích nguyên nhân tài sản tiền mã hóa của họ bị đánh cắp. Cuộc điều tra phát hiện, sự kiện bắt nguồn từ việc người dùng này đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub, kích hoạt hành vi đánh cắp tiền ẩn.
Gần đây, lại có người dùng bị đánh cắp tài sản do sử dụng các dự án mã nguồn mở tương tự và đã liên hệ với đội ngũ an ninh. Đối với vấn đề này, đội ngũ đã phân tích sâu hơn về phương thức tấn công này.
Phân tích quy trình
Phân tích tĩnh
Thông qua phân tích tĩnh, phát hiện mã nghi ngờ nằm trong tệp cấu hình /src/common/config.rs, chủ yếu tập trung vào phương thức create_coingecko_proxy(). Phương thức này đầu tiên gọi import_wallet(), sau đó gọi import_env_var() để lấy Khóa riêng.
import_env_var() phương pháp được sử dụng để lấy thông tin cấu hình biến môi trường từ tệp .env. Nếu biến môi trường không tồn tại, sẽ vào nhánh xử lý lỗi và tiếp tục tiêu thụ tài nguyên.
Thông tin nhạy cảm như PRIVATE_KEY được lưu trữ trong tệp .env. Phương pháp import_wallet() để lấy khóa riêng sẽ kiểm tra độ dài của nó:
Nếu nhỏ hơn 85, in thông tin lỗi và tiếp tục tiêu tốn tài nguyên
Nếu lớn hơn 85, chuyển đổi chuỗi Base58 thành đối tượng Keypair chứa khóa riêng.
Sau đó, mã độc đã đóng gói thông tin khóa riêng để hỗ trợ chia sẻ đa luồng.
create_coingecko_proxy() phương pháp sau khi nhận được Khóa riêng, giải mã các địa chỉ URL độc hại. Địa chỉ thật sau khi giải mã là:
Mã độc sẽ chuyển đổi Khóa riêng thành chuỗi Base58, tạo ra thân yêu cầu JSON, gửi qua yêu cầu POST đến URL trên, đồng thời bỏ qua kết quả phản hồi.
Ngoài ra, phương pháp này còn bao gồm việc lấy giá cả và các chức năng bình thường khác để che đậy hành vi độc hại. Tên phương pháp cũng đã được ngụy trang, có tính gây nhầm lẫn.
create_coingecko_proxy() phương pháp được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình của phương pháp main() trong main.rs.
Theo phân tích, địa chỉ IP của máy chủ này nằm ở Mỹ.
Dự án đã được cập nhật trên GitHub vào ngày 17 tháng 7 năm 2025, các thay đổi chính tập trung vào tệp cấu hình config.rs trong thư mục src. Mã hóa địa chỉ máy chủ của kẻ tấn công đã được thay thế bằng mã hóa mới.
Phân tích động
Để quan sát trực quan quá trình trộm cắp, viết một kịch bản Python để tạo cặp khóa công khai và riêng tư Solana dùng cho thử nghiệm, và thiết lập máy chủ HTTP trên máy chủ để nhận các yêu cầu POST.
Thay thế mã hóa địa chỉ máy chủ thử nghiệm được tạo ra bằng mã hóa địa chỉ máy chủ độc hại mà kẻ tấn công đã thiết lập và thay thế khóa riêng trong tệp .env bằng khóa thử nghiệm.
Sau khi khởi động mã độc, máy chủ thử nghiệm đã nhận thành công dữ liệu JSON được gửi từ dự án độc hại, trong đó chứa thông tin khóa riêng.
Chỉ số xâm nhập ( IoCs )
IP địa chỉ:103.35.189.28
Tên miền:storebackend-qpq3.onrender.com
Kho chứa độc hại:
Các kho lưu trữ khác có phương pháp thực hiện tương tự:
Tóm tắt
Trong cuộc tấn công này, kẻ tấn công đã giả mạo thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và thực thi mã độc. Dự án này sẽ đọc thông tin nhạy cảm từ tệp .env cục bộ và chuyển giao khóa riêng bị đánh cắp đến máy chủ do kẻ tấn công kiểm soát. Loại tấn công này thường kết hợp với các kỹ thuật kỹ thuật xã hội, người dùng chỉ cần sơ suất một chút là có thể bị dính bẫy.
Khuyến nghị các nhà phát triển và người dùng duy trì sự cảnh giác cao độ đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc khóa riêng. Nếu cần chạy hoặc gỡ lỗi, nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm, tránh thực thi các chương trình và lệnh độc hại không rõ nguồn gốc.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
5
Chia sẻ
Bình luận
0/400
HallucinationGrower
· 23giờ trước
Lại có chuyện rồi, nên tôi không bao giờ sử dụng sol.
Xem bản gốcTrả lời0
GasWaster
· 23giờ trước
Lại đen Sol của tôi à?
Xem bản gốcTrả lời0
GasFeeNightmare
· 23giờ trước
Còn muốn chơi đùa với mọi người ai nữa, tất cả đều đã bị các bạn chơi đùa với mọi người hết rồi.
Hệ sinh thái Solana lại xuất hiện mã độc Dự án GitHub ẩn chứa bẫy đánh cắp Khóa riêng
Hệ sinh thái Solana lại xuất hiện Bots độc hại: Tập tin cấu hình ẩn chứa bẫy rò rỉ Khóa riêng
Vào đầu tháng 7 năm 2025, một người dùng đã yêu cầu sự trợ giúp từ đội ngũ an ninh, yêu cầu phân tích nguyên nhân tài sản tiền mã hóa của họ bị đánh cắp. Cuộc điều tra phát hiện, sự kiện bắt nguồn từ việc người dùng này đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub, kích hoạt hành vi đánh cắp tiền ẩn.
Gần đây, lại có người dùng bị đánh cắp tài sản do sử dụng các dự án mã nguồn mở tương tự và đã liên hệ với đội ngũ an ninh. Đối với vấn đề này, đội ngũ đã phân tích sâu hơn về phương thức tấn công này.
Phân tích quy trình
Phân tích tĩnh
Thông qua phân tích tĩnh, phát hiện mã nghi ngờ nằm trong tệp cấu hình /src/common/config.rs, chủ yếu tập trung vào phương thức create_coingecko_proxy(). Phương thức này đầu tiên gọi import_wallet(), sau đó gọi import_env_var() để lấy Khóa riêng.
import_env_var() phương pháp được sử dụng để lấy thông tin cấu hình biến môi trường từ tệp .env. Nếu biến môi trường không tồn tại, sẽ vào nhánh xử lý lỗi và tiếp tục tiêu thụ tài nguyên.
Thông tin nhạy cảm như PRIVATE_KEY được lưu trữ trong tệp .env. Phương pháp import_wallet() để lấy khóa riêng sẽ kiểm tra độ dài của nó:
Sau đó, mã độc đã đóng gói thông tin khóa riêng để hỗ trợ chia sẻ đa luồng.
create_coingecko_proxy() phương pháp sau khi nhận được Khóa riêng, giải mã các địa chỉ URL độc hại. Địa chỉ thật sau khi giải mã là:
Mã độc sẽ chuyển đổi Khóa riêng thành chuỗi Base58, tạo ra thân yêu cầu JSON, gửi qua yêu cầu POST đến URL trên, đồng thời bỏ qua kết quả phản hồi.
Ngoài ra, phương pháp này còn bao gồm việc lấy giá cả và các chức năng bình thường khác để che đậy hành vi độc hại. Tên phương pháp cũng đã được ngụy trang, có tính gây nhầm lẫn.
create_coingecko_proxy() phương pháp được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình của phương pháp main() trong main.rs.
Theo phân tích, địa chỉ IP của máy chủ này nằm ở Mỹ.
Dự án đã được cập nhật trên GitHub vào ngày 17 tháng 7 năm 2025, các thay đổi chính tập trung vào tệp cấu hình config.rs trong thư mục src. Mã hóa địa chỉ máy chủ của kẻ tấn công đã được thay thế bằng mã hóa mới.
Phân tích động
Để quan sát trực quan quá trình trộm cắp, viết một kịch bản Python để tạo cặp khóa công khai và riêng tư Solana dùng cho thử nghiệm, và thiết lập máy chủ HTTP trên máy chủ để nhận các yêu cầu POST.
Thay thế mã hóa địa chỉ máy chủ thử nghiệm được tạo ra bằng mã hóa địa chỉ máy chủ độc hại mà kẻ tấn công đã thiết lập và thay thế khóa riêng trong tệp .env bằng khóa thử nghiệm.
Sau khi khởi động mã độc, máy chủ thử nghiệm đã nhận thành công dữ liệu JSON được gửi từ dự án độc hại, trong đó chứa thông tin khóa riêng.
Chỉ số xâm nhập ( IoCs )
IP địa chỉ:103.35.189.28
Tên miền:storebackend-qpq3.onrender.com
Kho chứa độc hại:
Các kho lưu trữ khác có phương pháp thực hiện tương tự:
Tóm tắt
Trong cuộc tấn công này, kẻ tấn công đã giả mạo thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và thực thi mã độc. Dự án này sẽ đọc thông tin nhạy cảm từ tệp .env cục bộ và chuyển giao khóa riêng bị đánh cắp đến máy chủ do kẻ tấn công kiểm soát. Loại tấn công này thường kết hợp với các kỹ thuật kỹ thuật xã hội, người dùng chỉ cần sơ suất một chút là có thể bị dính bẫy.
Khuyến nghị các nhà phát triển và người dùng duy trì sự cảnh giác cao độ đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc khóa riêng. Nếu cần chạy hoặc gỡ lỗi, nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm, tránh thực thi các chương trình và lệnh độc hại không rõ nguồn gốc.