O ecossistema Solana apresenta novamente Bots maliciosos: o arquivo de configuração esconde o risco de transmissão de Chave privada
No início de julho de 2025, um usuário pediu ajuda à equipe de segurança para analisar a razão pela qual seus ativos criptográficos foram roubados. A investigação revelou que o incidente originou-se do uso por parte do usuário de um projeto de código aberto hospedado no GitHub, o que desencadeou um comportamento oculto de roubo de moedas.
Recentemente, outro usuário teve seus ativos roubados devido ao uso de projetos de código aberto semelhantes. A equipe de segurança fez uma análise aprofundada sobre isso.
Análise estática
A análise revelou que o código suspeito está localizado no arquivo de configuração, concentrando-se principalmente no método create_coingecko_proxy(). Este método primeiro chama import_wallet() para obter a chave privada, e depois verifica o comprimento da chave privada:
Se a chave privada tiver um comprimento inferior a 85, o programa imprimirá uma mensagem de erro e continuará a consumir recursos;
Se o comprimento da chave privada for superior a 85, converta essa string Base58 em um objeto Keypair que contém as informações da chave privada.
Em seguida, o código decodifica o endereço URL malicioso. O endereço verdadeiro após a decodificação é:
Código para criar um cliente HTTP, converter a chave privada em uma string Base58, construir o corpo da requisição JSON e enviá-lo para a URL acima, ignorando ao mesmo tempo o resultado da resposta.
O método create_coingecko_proxy() é chamado quando a aplicação é iniciada, localizado na fase de inicialização do arquivo de configuração do método main().
O projeto foi recentemente atualizado no GitHub, com as principais alterações concentradas no arquivo de configuração. O endereço do servidor do atacante HELIUS_PROXY( foi substituído pela nova codificação do endereço original ).
Análise dinâmica
Para observar de forma intuitiva o processo de roubo, os pesquisadores escreveram um script para gerar pares de chaves públicas e privadas de Solana para testes, e montaram um servidor HTTP para receber solicitações POST.
Substitua o código do endereço do servidor de teste pelo código do endereço do servidor malicioso configurado pelo atacante e preencha a chave privada no arquivo .env.
Após iniciar o código malicioso, o servidor de testes recebeu com sucesso dados JSON, que contêm informações da Chave privada.
Indicadores de invasão
IP: 103.35.189.28
Domínio: storebackend-qpq3.onrender.com
Armazém malicioso:
Resumo
Esses ataques disfarçam-se como projetos de código aberto legítimos, induzindo os usuários a executar código malicioso. O projeto lê informações sensíveis locais e transfere a chave privada roubada para o servidor do atacante.
Recomenda-se que os desenvolvedores e usuários estejam atentos a projetos do GitHub de origem desconhecida, especialmente quando envolvem operações com carteiras ou Chave privada. Se precisar executar ou depurar, deve fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos de origem desconhecida.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
16 gostos
Recompensa
16
8
Republicar
Partilhar
Comentar
0/400
CounterIndicator
· 07-26 05:07
Ai, não era para ter cuidado com Código aberto?
Ver originalResponder0
DegenApeSurfer
· 07-24 14:54
Código aberto Código aberto Quem mais se atreve a tocar no código-fonte sol
Ver originalResponder0
SilentObserver
· 07-24 14:54
又是个开caixa mistério的
Ver originalResponder0
DaoResearcher
· 07-24 14:44
De acordo com a estrutura do código-fonte, este é um padrão típico de ataque de roubo de chave privada Base58, que expôs uma falha fatal na auditoria de segurança do ecossistema Sol.
Ver originalResponder0
RunWhenCut
· 07-24 14:42
de novo foi fazer as pessoas de parvas Código aberto a perder dinheiro
Solana bots maliciosos reaparecem, e o arquivo de configuração esconde o risco de vazamento da chave privada.
O ecossistema Solana apresenta novamente Bots maliciosos: o arquivo de configuração esconde o risco de transmissão de Chave privada
No início de julho de 2025, um usuário pediu ajuda à equipe de segurança para analisar a razão pela qual seus ativos criptográficos foram roubados. A investigação revelou que o incidente originou-se do uso por parte do usuário de um projeto de código aberto hospedado no GitHub, o que desencadeou um comportamento oculto de roubo de moedas.
Recentemente, outro usuário teve seus ativos roubados devido ao uso de projetos de código aberto semelhantes. A equipe de segurança fez uma análise aprofundada sobre isso.
Análise estática
A análise revelou que o código suspeito está localizado no arquivo de configuração, concentrando-se principalmente no método create_coingecko_proxy(). Este método primeiro chama import_wallet() para obter a chave privada, e depois verifica o comprimento da chave privada:
Em seguida, o código decodifica o endereço URL malicioso. O endereço verdadeiro após a decodificação é:
Código para criar um cliente HTTP, converter a chave privada em uma string Base58, construir o corpo da requisição JSON e enviá-lo para a URL acima, ignorando ao mesmo tempo o resultado da resposta.
O método create_coingecko_proxy() é chamado quando a aplicação é iniciada, localizado na fase de inicialização do arquivo de configuração do método main().
O projeto foi recentemente atualizado no GitHub, com as principais alterações concentradas no arquivo de configuração. O endereço do servidor do atacante HELIUS_PROXY( foi substituído pela nova codificação do endereço original ).
Análise dinâmica
Para observar de forma intuitiva o processo de roubo, os pesquisadores escreveram um script para gerar pares de chaves públicas e privadas de Solana para testes, e montaram um servidor HTTP para receber solicitações POST.
Substitua o código do endereço do servidor de teste pelo código do endereço do servidor malicioso configurado pelo atacante e preencha a chave privada no arquivo .env.
Após iniciar o código malicioso, o servidor de testes recebeu com sucesso dados JSON, que contêm informações da Chave privada.
Indicadores de invasão
Resumo
Esses ataques disfarçam-se como projetos de código aberto legítimos, induzindo os usuários a executar código malicioso. O projeto lê informações sensíveis locais e transfere a chave privada roubada para o servidor do atacante.
Recomenda-se que os desenvolvedores e usuários estejam atentos a projetos do GitHub de origem desconhecida, especialmente quando envolvem operações com carteiras ou Chave privada. Se precisar executar ou depurar, deve fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos de origem desconhecida.