عودة البوتات الخبيثة في نظام Solana: ملف الإعدادات يخفي مخاطر تسرب المفتاح الخاص
في أوائل يوليو 2025، طلب أحد المستخدمين من فريق الأمن تحليل أسباب سرقة أصوله المشفرة. وأظهرت التحقيقات أن الحدث ناتج عن استخدام هذا المستخدم لمشروع مفتوح المصدر مستضاف على GitHub، مما أدى إلى تفعيل سلوك سرقة العملات الخفي.
مؤخراً، تعرض مستخدمون آخرون لسرقة أصولهم بسبب استخدام مشاريع مفتوحة المصدر مماثلة. قام فريق الأمن بإجراء تحليل متعمق لذلك.
التحليل الثابت
تحليل يبين أن الشيفرة المشبوهة تقع في ملف التكوين، وتركز بشكل رئيسي في طريقة create_coingecko_proxy(). تستدعي هذه الطريقة أولاً import_wallet() للحصول على المفتاح الخاص، ثم تقوم بالتحقق من طول المفتاح الخاص:
إذا كان طول المفتاح الخاص أقل من 85، ستقوم البرنامج بطباعة رسالة خطأ وستستمر في استهلاك الموارد؛
إذا كانت طول المفتاح الخاص أكبر من 85، قم بتحويل سلسلة Base58 هذه إلى كائن Keypair يحتوي على معلومات المفتاح الخاص.
بعد ذلك، يقوم الكود بفك تشفير عنوان URL الضار. العنوان الحقيقي بعد فك التشفير هو:
كود لإنشاء عميل HTTP، تحويل المفتاح الخاص إلى سلسلة Base58، بناء جسم الطلب JSON وإرساله إلى عنوان URL المذكور أعلاه، مع تجاهل نتيجة الاستجابة.
يتم استدعاء طريقة create_coingecko_proxy() عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف التكوين لطريقة main().
تم تحديث هذا المشروع مؤخرًا على GitHub، حيث تركزت التغييرات الرئيسية على ملف التكوين. تم استبدال الترميز الأصلي لعنوان خادم المهاجم Helius_Proxy( بعنوان ترميز جديد.
! [الاستنساخ البيئي ل Solana للروبوتات الخبيثة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص])https://img-cdn.gateio.im/social/moments-18e2e53ca3a5e4a8aa697fefefe2d3dc09(
التحليل الديناميكي
لرؤية عملية السرقة بشكل واضح، كتب الباحثون نصًا لإنشاء أزواج مفاتيح عامة وخاصة لاختبار Solana، وقاموا بإنشاء خادم HTTP لاستقبال طلبات POST.
استبدل ترميز عنوان خادم الاختبار بترميز عنوان الخادم الخبيث الذي حدده المهاجم واملأ المفتاح الخاص في ملف .env.
بعد تشغيل الشيفرة الضارة، استقبل خادم الاختبار بنجاح بيانات JSON، والتي تحتوي على معلومات المفتاح الخاص.
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
! [الاستنساخ البيئي ل Solana للروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفي])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![ظهور روبوتات خبيثة في نظام Solana البيئي: ملف الإعدادات يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![إعادة ظهور بوتات ضارة في نظام Solana البيئي: ملف التكوين يُخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التكوين يخفي فخ تسرب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفية])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![عودة بوتات خبيثة في نظام Solana: ملف التكوين يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![تظهر Solana بيئة جديدة من البوتات الخبيثة: ملف التكوين يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![تظهر على نظام Solana البيئي بوتات خبيثة: ملف التعريف يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
! [الاستنساخ البيئي ل Solana للروبوتات الضارة: مصائد المفاتيح الخاصة المخفية في ملفات التكوين])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp019283746574839201
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص](https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp019283746574839201
![تظهر مرة أخرى بوتات ضارة في نظام Solana البيئي: ملف التعريف يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![تظهر بوتات خبيثة في نظام Solana البيئي: الملف الشخصي يخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![تظهر مرة أخرى بوتات خبيثة في نظام Solana البيئي: ملف التعريف يحتوي على فخ لتسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
مؤشرات الاختراق
رقم IP: 103.35.189.28
اسم النطاق: storebackend-qpq3.onrender.com
مستودع خبيث:
ملخص
تقوم هذه الأنواع من الهجمات بالتظاهر بأنها مشاريع مفتوحة المصدر شرعية، مما يحث المستخدمين على تنفيذ شفرات ضارة. ستقوم المشاريع بقراءة المعلومات الحساسة المحلية، ثم نقل المفتاح الخاص المسروق إلى خادم المهاجم.
ينبغي على المطورين والمستخدمين توخي الحذر من مشاريع GitHub غير المعروفة، خاصة عندما يتعلق الأمر بمحافظ أو عمليات المفتاح الخاص. إذا كان من الضروري التشغيل أو التصحيح، يجب القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة، وتجنب تنفيذ البرامج والأوامر غير المعروفة المصدر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 16
أعجبني
16
8
إعادة النشر
مشاركة
تعليق
0/400
CounterIndicator
· 07-26 05:07
آه، أليس من المفترض أن نكون حذرين من مفتوح المصدر؟
شاهد النسخة الأصليةرد0
DegenApeSurfer
· 07-24 14:54
مفتوح المصدر مفتوح المصدر من يجرؤ على لمس sol رمز المصدر
شاهد النسخة الأصليةرد0
SilentObserver
· 07-24 14:54
مرة أخرى صندوق الغموض
شاهد النسخة الأصليةرد0
DaoResearcher
· 07-24 14:44
استنادًا إلى بنية رمز المصدر، هذه هي نمط هجوم سرقة المفتاح الخاص من نوع Base58، مما يكشف عن عيب قاتل في الأمان في نظام Sol البيئي.
ظهور بوتات ضارة على Solana مخاطر تسرب المفتاح الخاص مخفية في ملفات التكوين
عودة البوتات الخبيثة في نظام Solana: ملف الإعدادات يخفي مخاطر تسرب المفتاح الخاص
في أوائل يوليو 2025، طلب أحد المستخدمين من فريق الأمن تحليل أسباب سرقة أصوله المشفرة. وأظهرت التحقيقات أن الحدث ناتج عن استخدام هذا المستخدم لمشروع مفتوح المصدر مستضاف على GitHub، مما أدى إلى تفعيل سلوك سرقة العملات الخفي.
مؤخراً، تعرض مستخدمون آخرون لسرقة أصولهم بسبب استخدام مشاريع مفتوحة المصدر مماثلة. قام فريق الأمن بإجراء تحليل متعمق لذلك.
التحليل الثابت
تحليل يبين أن الشيفرة المشبوهة تقع في ملف التكوين، وتركز بشكل رئيسي في طريقة create_coingecko_proxy(). تستدعي هذه الطريقة أولاً import_wallet() للحصول على المفتاح الخاص، ثم تقوم بالتحقق من طول المفتاح الخاص:
بعد ذلك، يقوم الكود بفك تشفير عنوان URL الضار. العنوان الحقيقي بعد فك التشفير هو:
كود لإنشاء عميل HTTP، تحويل المفتاح الخاص إلى سلسلة Base58، بناء جسم الطلب JSON وإرساله إلى عنوان URL المذكور أعلاه، مع تجاهل نتيجة الاستجابة.
يتم استدعاء طريقة create_coingecko_proxy() عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف التكوين لطريقة main().
تم تحديث هذا المشروع مؤخرًا على GitHub، حيث تركزت التغييرات الرئيسية على ملف التكوين. تم استبدال الترميز الأصلي لعنوان خادم المهاجم Helius_Proxy( بعنوان ترميز جديد.
! [الاستنساخ البيئي ل Solana للروبوتات الخبيثة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص])https://img-cdn.gateio.im/social/moments-18e2e53ca3a5e4a8aa697fefefe2d3dc09(
التحليل الديناميكي
لرؤية عملية السرقة بشكل واضح، كتب الباحثون نصًا لإنشاء أزواج مفاتيح عامة وخاصة لاختبار Solana، وقاموا بإنشاء خادم HTTP لاستقبال طلبات POST.
استبدل ترميز عنوان خادم الاختبار بترميز عنوان الخادم الخبيث الذي حدده المهاجم واملأ المفتاح الخاص في ملف .env.
بعد تشغيل الشيفرة الضارة، استقبل خادم الاختبار بنجاح بيانات JSON، والتي تحتوي على معلومات المفتاح الخاص.
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
! [الاستنساخ البيئي ل Solana للروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفي])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![ظهور روبوتات خبيثة في نظام Solana البيئي: ملف الإعدادات يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![إعادة ظهور بوتات ضارة في نظام Solana البيئي: ملف التكوين يُخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التكوين يخفي فخ تسرب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفية])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![عودة بوتات خبيثة في نظام Solana: ملف التكوين يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![تظهر Solana بيئة جديدة من البوتات الخبيثة: ملف التكوين يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![تظهر على نظام Solana البيئي بوتات خبيثة: ملف التعريف يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
! [الاستنساخ البيئي ل Solana للروبوتات الضارة: مصائد المفاتيح الخاصة المخفية في ملفات التكوين])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp019283746574839201
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص](https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp019283746574839201
![تظهر مرة أخرى بوتات ضارة في نظام Solana البيئي: ملف التعريف يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![تظهر بوتات خبيثة في نظام Solana البيئي: الملف الشخصي يخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![تظهر مرة أخرى بوتات خبيثة في نظام Solana البيئي: ملف التعريف يحتوي على فخ لتسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
مؤشرات الاختراق
ملخص
تقوم هذه الأنواع من الهجمات بالتظاهر بأنها مشاريع مفتوحة المصدر شرعية، مما يحث المستخدمين على تنفيذ شفرات ضارة. ستقوم المشاريع بقراءة المعلومات الحساسة المحلية، ثم نقل المفتاح الخاص المسروق إلى خادم المهاجم.
ينبغي على المطورين والمستخدمين توخي الحذر من مشاريع GitHub غير المعروفة، خاصة عندما يتعلق الأمر بمحافظ أو عمليات المفتاح الخاص. إذا كان من الضروري التشغيل أو التصحيح، يجب القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة، وتجنب تنفيذ البرامج والأوامر غير المعروفة المصدر.