La ecología de Solana vuelve a mostrar Bots maliciosos: el archivo de configuración oculta el riesgo de fuga de Llave privada
A principios de julio de 2025, un usuario solicitó ayuda al equipo de seguridad para analizar las razones por las cuales sus activos criptográficos fueron robados. La investigación reveló que el incidente se originó por el uso de un proyecto de código abierto alojado en GitHub, lo que provocó un comportamiento encubierto de robo de monedas.
Recientemente, otros usuarios han sufrido robos de activos debido al uso de proyectos de código abierto similares. El equipo de seguridad ha realizado un análisis exhaustivo al respecto.
Análisis estático
El análisis encontró que el código sospechoso se encuentra en el archivo de configuración, principalmente concentrado en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada, y luego verifica la longitud de la Llave privada:
Si la longitud de la llave privada es menor de 85, el programa imprimirá un mensaje de error y seguirá consumiendo recursos;
Si la longitud de la llave privada es mayor a 85, convierte esa cadena Base58 en un objeto Keypair que contiene la información de la llave privada.
Luego, el código decodifica la dirección URL maliciosa. La dirección real después de la decodificación es:
Código para crear un cliente HTTP, convertir la llave privada en una cadena Base58, construir el cuerpo de la solicitud JSON y enviarlo a la URL mencionada, al mismo tiempo ignorando el resultado de la respuesta.
El método create_coingecko_proxy() se llama al iniciar la aplicación, durante la fase de inicialización del archivo de configuración del método main().
El proyecto se actualizó recientemente en GitHub, con cambios principales centrados en el archivo de configuración. La dirección original del servidor del atacante HELIUS_PROXY( ha sido reemplazada por una nueva codificación.
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
Análisis dinámico
Para observar de manera intuitiva el proceso de robo, los investigadores escribieron un script para generar pares de claves públicas y privadas de Solana para pruebas, y construyeron un servidor HTTP que recibe solicitudes POST.
Reemplace la codificación de la dirección del servidor de prueba con la codificación de la dirección del servidor malicioso establecida por el atacante y llene la llave privada de prueba en el archivo .env.
Después de iniciar el código malicioso, el servidor de pruebas recibió con éxito los datos JSON, que contienen información de la Llave privada.
![Solana ecosistema vuelve a mostrar Bots maliciosos: el archivo de configuración oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana ecosistema vuelve a ver Bots maliciosos: el perfil esconde trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ecosistema vuelve a sufrir ataques de Bots: el perfil contiene un trampa de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil ocultaba trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana ecosistema vuelve a ver Bots maliciosos: el archivo de configuración oculta la trampa de la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ecosistema vuelve a aparecer Bots maliciosos: perfil oculto contiene trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana ecosistema presenta Bots maliciosos: el perfil oculta trampas de divulgación de Llave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la filtración de Llave privada])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana ecosistema vuelve a experimentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ecosistema vuelve a aparecer Bots maliciosos: el perfil oculta trampa de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil ocultaba trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Solana ecosistema vuelve a sufrir ataques de Bots: el perfil oculta trampas para la fuga de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Reaparición de bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la filtración de la llave privada])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de llaves privadas])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Indicadores de intrusión
IP: 103.35.189.28
Dominio: storebackend-qpq3.onrender.com
Almacén malicioso:
Resumen
Este tipo de ataque se disfraza como un proyecto de código abierto legítimo, induciendo a los usuarios a ejecutar código malicioso. El proyecto lee información sensible local y transfiere la llave privada robada al servidor del atacante.
Se recomienda a los desarrolladores y usuarios que mantengan precaución con los proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones con billeteras o llaves privadas. Si es necesario ejecutar o depurar, debe hacerse en un entorno independiente y sin datos sensibles, evitando ejecutar programas y comandos de origen desconocido.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
8
Republicar
Compartir
Comentar
0/400
CounterIndicator
· 07-26 05:07
Ay, ¿no se dijo que hay que tener cuidado con el Código abierto?
Ver originalesResponder0
DegenApeSurfer
· 07-24 14:54
Código abierto Código fuente ¿Quién se atreve a tocar sol?
Ver originalesResponder0
SilentObserver
· 07-24 14:54
Otra vez es una caja misteriosa.
Ver originalesResponder0
DaoResearcher
· 07-24 14:44
Según la estructura del código fuente, este es un patrón típico de ataque de robo de llaves privadas en Base58, que expone una falla fatal en la auditoría de seguridad del ecosistema Sol.
Ver originalesResponder0
RunWhenCut
· 07-24 14:42
Otra vez tomado a la gente por tonta Código abierto perdiendo dinero
Reaparición de Bots maliciosos en Solana: el archivo de configuración oculta el riesgo de fuga de Llave privada.
La ecología de Solana vuelve a mostrar Bots maliciosos: el archivo de configuración oculta el riesgo de fuga de Llave privada
A principios de julio de 2025, un usuario solicitó ayuda al equipo de seguridad para analizar las razones por las cuales sus activos criptográficos fueron robados. La investigación reveló que el incidente se originó por el uso de un proyecto de código abierto alojado en GitHub, lo que provocó un comportamiento encubierto de robo de monedas.
Recientemente, otros usuarios han sufrido robos de activos debido al uso de proyectos de código abierto similares. El equipo de seguridad ha realizado un análisis exhaustivo al respecto.
Análisis estático
El análisis encontró que el código sospechoso se encuentra en el archivo de configuración, principalmente concentrado en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada, y luego verifica la longitud de la Llave privada:
Luego, el código decodifica la dirección URL maliciosa. La dirección real después de la decodificación es:
Código para crear un cliente HTTP, convertir la llave privada en una cadena Base58, construir el cuerpo de la solicitud JSON y enviarlo a la URL mencionada, al mismo tiempo ignorando el resultado de la respuesta.
El método create_coingecko_proxy() se llama al iniciar la aplicación, durante la fase de inicialización del archivo de configuración del método main().
El proyecto se actualizó recientemente en GitHub, con cambios principales centrados en el archivo de configuración. La dirección original del servidor del atacante HELIUS_PROXY( ha sido reemplazada por una nueva codificación.
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
Análisis dinámico
Para observar de manera intuitiva el proceso de robo, los investigadores escribieron un script para generar pares de claves públicas y privadas de Solana para pruebas, y construyeron un servidor HTTP que recibe solicitudes POST.
Reemplace la codificación de la dirección del servidor de prueba con la codificación de la dirección del servidor malicioso establecida por el atacante y llene la llave privada de prueba en el archivo .env.
Después de iniciar el código malicioso, el servidor de pruebas recibió con éxito los datos JSON, que contienen información de la Llave privada.
![Solana ecosistema vuelve a mostrar Bots maliciosos: el archivo de configuración oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana ecosistema vuelve a ver Bots maliciosos: el perfil esconde trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ecosistema vuelve a sufrir ataques de Bots: el perfil contiene un trampa de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil ocultaba trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana ecosistema vuelve a ver Bots maliciosos: el archivo de configuración oculta la trampa de la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ecosistema vuelve a aparecer Bots maliciosos: perfil oculto contiene trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana ecosistema presenta Bots maliciosos: el perfil oculta trampas de divulgación de Llave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la filtración de Llave privada])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana ecosistema vuelve a experimentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ecosistema vuelve a aparecer Bots maliciosos: el perfil oculta trampa de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil ocultaba trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Solana ecosistema vuelve a sufrir ataques de Bots: el perfil oculta trampas para la fuga de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Reaparición de bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la filtración de la llave privada])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de llaves privadas])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Indicadores de intrusión
Resumen
Este tipo de ataque se disfraza como un proyecto de código abierto legítimo, induciendo a los usuarios a ejecutar código malicioso. El proyecto lee información sensible local y transfiere la llave privada robada al servidor del atacante.
Se recomienda a los desarrolladores y usuarios que mantengan precaución con los proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones con billeteras o llaves privadas. Si es necesario ejecutar o depurar, debe hacerse en un entorno independiente y sin datos sensibles, evitando ejecutar programas y comandos de origen desconocido.