Solana : réapparition de Bots malveillants dans l'écosystème : risque de divulgation des clés privées dissimulées dans le fichier de configuration
Début juillet 2025, un utilisateur a demandé l'aide de l'équipe de sécurité pour analyser la raison du vol de ses actifs cryptographiques. L'enquête a révélé que l'incident provenait de l'utilisation par cet utilisateur d'un projet open source hébergé sur GitHub, ce qui a déclenché des comportements cachés de vol de fonds.
Récemment, d'autres utilisateurs ont perdu leurs actifs en raison de l'utilisation de projets open source similaires. L'équipe de sécurité a effectué une analyse approfondie à ce sujet.
Analyse statique
L'analyse révèle que le code suspect se trouve dans le fichier de configuration, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet() pour obtenir la clé privée, puis vérifie la longueur de la clé privée :
Si la longueur de la clé privée est inférieure à 85, le programme affichera un message d'erreur et continuera à consommer des ressources;
Si la longueur de la clé privée est supérieure à 85, alors convertissez cette chaîne Base58 en un objet Keypair contenant les informations de la clé privée.
Ensuite, le code décode l'adresse URL malveillante. L'adresse réelle après décodage est :
Créer un client HTTP avec le code, convertir la clé privée en chaîne Base58, construire le corps de la requête JSON et l'envoyer à l'URL ci-dessus, tout en ignorant le résultat de la réponse.
La méthode create_coingecko_proxy() est appelée lors du démarrage de l'application, pendant la phase d'initialisation du fichier de configuration de la méthode main().
Le projet a récemment été mis à jour sur GitHub, les principales modifications étant concentrées dans le fichier de configuration. L'adresse du serveur de l'attaquant HELIUS_PROXY( a été remplacée par un nouvel encodage.
![L'écosystème Solana connaît à nouveau des Bots malveillants : le profil cache un piège de transmission de la clé privée])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
Analyse dynamique
Pour observer de manière intuitive le processus de vol, les chercheurs ont écrit un script pour générer des paires de clés publiques et privées Solana à des fins de test, et ont mis en place un serveur HTTP pour recevoir des requêtes POST.
Remplacez le code d'adresse du serveur de test par le code d'adresse du serveur malveillant réglé par l'attaquant, et remplissez la clé privée dans le fichier .env.
Après le lancement du code malveillant, le serveur de test a réussi à recevoir des données JSON, qui contiennent des informations sur la Clé privée.
![Les Bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège de fuite de clé privée])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![L'écosystème Solana présente à nouveau des Bots malveillants : le profil cache un piège pour la divulgation de la clé privée])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Les Bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège de fuite de clé privée])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège d'exfiltration de clé privée])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège de divulgation de Clé privée])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![L'écosystème Solana présente à nouveau des Bots malveillants : le profil cache un piège de fuite de clé privée])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![L'écosystème Solana présente à nouveau des Bots malveillants : le fichier de configuration cache un piège d'exposition de clé privée])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Le réseau Solana fait face à des Bots malveillants : un profil cachant un piège à la clé privée])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana écosystème réapparition de Bots malveillants : le profil cache un piège de divulgation de Clé privée])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana écosystème réapparition de Bots malveillants : le profil cache des pièges de transmission de Clé privée])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège d'exfiltration de Clé privée])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana écologie de nouveau victime de bots malveillants : le fichier de configuration cache un piège de divulgation de clé privée])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![La réapparition de Bots malveillants dans l'écosystème Solana : un piège d'exfiltration de clé privée caché dans le profil])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana écosystème revoit des Bots malveillants : le profil cache un piège d'exfiltration de Clé privée])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Des Bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège de divulgation de la clé privée])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Les bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège pour la divulgation de la clé privée])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![L'écosystème Solana fait face à des Bots malveillants : des pièges de divulgation de clé privée cachés dans le profil])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![L'écosystème Solana présente à nouveau des Bots malveillants : le profil cache un piège de divulgation de Clé privée])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![L'écosystème Solana retrouve des Bots malveillants : le profil cache un piège de divulgation de clé privée])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Indicateurs d'intrusion
IP : 103.35.189.28
Domaine : storebackend-qpq3.onrender.com
Entrepôt malveillant:
Résumé
De telles attaques se déguisent en projets open source légitimes, incitant les utilisateurs à exécuter du code malveillant. Le projet lira des informations sensibles locales et transmettra les clés privées volées au serveur de l'attaquant.
Il est recommandé aux développeurs de rester vigilants face aux projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations liées aux portefeuilles ou aux clés privées. Si vous devez exécuter ou déboguer, cela doit être fait dans un environnement isolé et sans données sensibles, afin d'éviter d'exécuter des programmes et des commandes d'origine inconnue.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
8
Reposter
Partager
Commentaire
0/400
CounterIndicator
· 07-26 05:07
Eh, on n'a pas dit de faire attention à l'Open Source ?
Voir l'originalRépondre0
DegenApeSurfer
· 07-24 14:54
Open Source qui oserait toucher au code source de sol
Voir l'originalRépondre0
SilentObserver
· 07-24 14:54
Encore un autre qui ouvre un mystery box.
Voir l'originalRépondre0
DaoResearcher
· 07-24 14:44
Selon la structure du Code Source, il s'agit d'un modèle typique d'attaque par vol de clé privée Base58, révélant un défaut fatal dans l'audit de sécurité de l'écosystème Sol.
Voir l'originalRépondre0
RunWhenCut
· 07-24 14:42
Encore pris pour un idiot Open Source perdre de l'argent
Réapparition de Bots malveillants sur Solana, le fichier de configuration cache un risque de fuite de Clé privée.
Solana : réapparition de Bots malveillants dans l'écosystème : risque de divulgation des clés privées dissimulées dans le fichier de configuration
Début juillet 2025, un utilisateur a demandé l'aide de l'équipe de sécurité pour analyser la raison du vol de ses actifs cryptographiques. L'enquête a révélé que l'incident provenait de l'utilisation par cet utilisateur d'un projet open source hébergé sur GitHub, ce qui a déclenché des comportements cachés de vol de fonds.
Récemment, d'autres utilisateurs ont perdu leurs actifs en raison de l'utilisation de projets open source similaires. L'équipe de sécurité a effectué une analyse approfondie à ce sujet.
Analyse statique
L'analyse révèle que le code suspect se trouve dans le fichier de configuration, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet() pour obtenir la clé privée, puis vérifie la longueur de la clé privée :
Ensuite, le code décode l'adresse URL malveillante. L'adresse réelle après décodage est :
Créer un client HTTP avec le code, convertir la clé privée en chaîne Base58, construire le corps de la requête JSON et l'envoyer à l'URL ci-dessus, tout en ignorant le résultat de la réponse.
La méthode create_coingecko_proxy() est appelée lors du démarrage de l'application, pendant la phase d'initialisation du fichier de configuration de la méthode main().
Le projet a récemment été mis à jour sur GitHub, les principales modifications étant concentrées dans le fichier de configuration. L'adresse du serveur de l'attaquant HELIUS_PROXY( a été remplacée par un nouvel encodage.
![L'écosystème Solana connaît à nouveau des Bots malveillants : le profil cache un piège de transmission de la clé privée])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
Analyse dynamique
Pour observer de manière intuitive le processus de vol, les chercheurs ont écrit un script pour générer des paires de clés publiques et privées Solana à des fins de test, et ont mis en place un serveur HTTP pour recevoir des requêtes POST.
Remplacez le code d'adresse du serveur de test par le code d'adresse du serveur malveillant réglé par l'attaquant, et remplissez la clé privée dans le fichier .env.
Après le lancement du code malveillant, le serveur de test a réussi à recevoir des données JSON, qui contiennent des informations sur la Clé privée.
![Les Bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège de fuite de clé privée])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![L'écosystème Solana présente à nouveau des Bots malveillants : le profil cache un piège pour la divulgation de la clé privée])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Les Bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège de fuite de clé privée])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège d'exfiltration de clé privée])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège de divulgation de Clé privée])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![L'écosystème Solana présente à nouveau des Bots malveillants : le profil cache un piège de fuite de clé privée])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![L'écosystème Solana présente à nouveau des Bots malveillants : le fichier de configuration cache un piège d'exposition de clé privée])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Le réseau Solana fait face à des Bots malveillants : un profil cachant un piège à la clé privée])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana écosystème réapparition de Bots malveillants : le profil cache un piège de divulgation de Clé privée])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana écosystème réapparition de Bots malveillants : le profil cache des pièges de transmission de Clé privée])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège d'exfiltration de Clé privée])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana écologie de nouveau victime de bots malveillants : le fichier de configuration cache un piège de divulgation de clé privée])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![La réapparition de Bots malveillants dans l'écosystème Solana : un piège d'exfiltration de clé privée caché dans le profil])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana écosystème revoit des Bots malveillants : le profil cache un piège d'exfiltration de Clé privée])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Des Bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège de divulgation de la clé privée])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Les bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège pour la divulgation de la clé privée])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![L'écosystème Solana fait face à des Bots malveillants : des pièges de divulgation de clé privée cachés dans le profil])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![L'écosystème Solana présente à nouveau des Bots malveillants : le profil cache un piège de divulgation de Clé privée])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![L'écosystème Solana retrouve des Bots malveillants : le profil cache un piège de divulgation de clé privée])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Indicateurs d'intrusion
Résumé
De telles attaques se déguisent en projets open source légitimes, incitant les utilisateurs à exécuter du code malveillant. Le projet lira des informations sensibles locales et transmettra les clés privées volées au serveur de l'attaquant.
Il est recommandé aux développeurs de rester vigilants face aux projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations liées aux portefeuilles ou aux clés privées. Si vous devez exécuter ou déboguer, cela doit être fait dans un environnement isolé et sans données sensibles, afin d'éviter d'exécuter des programmes et des commandes d'origine inconnue.