В экосистеме Solana снова появились злонамеренные боты: конфигурационный файл скрывает риск утечки закрытого ключа
В начале июля 2025 года пользователь обратился в команду безопасности с просьбой проанализировать причины кражи его криптоактивов. В ходе расследования было установлено, что инцидент произошел из-за использования пользователем одного открытого проекта, размещенного на GitHub, что привело к скрытому краже средств.
В последнее время еще несколько пользователей стали жертвами кражи активов из-за использования аналогичных открытых проектов. Команда безопасности провела глубокий анализ этого вопроса.
Статический анализ
Анализ показал, что подозрительный код находится в конфигурационном файле, в основном сосредоточен в методе create_coingecko_proxy(). Этот метод сначала вызывает import_wallet() для получения Закрытый ключ, а затем проверяет длину Закрытый ключ:
Если длина закрытого ключа меньше 85, программа выведет сообщение об ошибке и продолжит потреблять ресурсы;
Если длина закрытого ключа больше 85, преобразуйте эту строку Base58 в объект Keypair, содержащий информацию о закрытом ключе.
Затем код декодирует вредоносные URL-адреса. Декодированный настоящий адрес:
Код создает HTTP-клиент, преобразует закрытый ключ в строку Base58, формирует JSON-тело запроса и отправляет его по указанному URL, одновременно игнорируя результаты ответа.
Метод create_coingecko_proxy() вызывается при запуске приложения, на этапе инициализации конфигурационного файла метода main().
Проект недавно обновился на GitHub, основные изменения сосредоточены в конфигурационном файле. Адрес сервера-атакующего HELIUS_PROXY( заменен на новый код. Адрес оригинала ) был заменен новым кодом.
Динамический анализ
Для наглядного наблюдения за процессом кражи исследователи написали скрипт для генерации тестовых пар публичных и закрытых ключей Solana и создали HTTP-сервер для приема POST-запросов.
Замените кодировку адреса тестового сервера на кодировку адреса вредоносного сервера, установленного первоначальным злоумышленником, и вставьте тестовый Закрытый ключ в файл .env.
После запуска вредоносного кода тестовый сервер успешно получил данные JSON, содержащие информацию о Закрытом ключе.
Показатели вторжения
IP: 103.35.189.28
Доменное имя: storebackend-qpq3.onrender.com
Злой репозиторий:
Резюме
Такие атаки маскируются под легитимные открытые проекты, побуждая пользователей выполнять вредоносный код. Проект будет считывать локальную конфиденциальную информацию и передавать украденный закрытый ключ на сервер злоумышленника.
Рекомендуется разработчикам и пользователям быть осторожными с неизвестными проектами на GitHub, особенно когда это касается операций с кошельками или закрытыми ключами. Если необходимо выполнять или отлаживать, это следует делать в изолированной среде без конфиденциальных данных, избегая выполнения программ и команд, источники которых неизвестны.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
8
Репост
Поделиться
комментарий
0/400
CounterIndicator
· 07-26 05:07
Ай, разве не говорили, что нужно быть осторожным с открытым исходным кодом?
Посмотреть ОригиналОтветить0
DegenApeSurfer
· 07-24 14:54
Открытый исходный код, кто еще осмелится прикасаться к sol
Посмотреть ОригиналОтветить0
SilentObserver
· 07-24 14:54
Снова мистери-бокс.
Посмотреть ОригиналОтветить0
DaoResearcher
· 07-24 14:44
Согласно структуре исходного кода, это типичная модель атаки на кражу закрытого ключа Base58, которая выявила смертельный недостаток экосистемы Sol в области безопасности аудита.
Solana злоумышленные Боты вновь появились, конфигурационный файл скрывает риск утечки Закрытого ключа
В экосистеме Solana снова появились злонамеренные боты: конфигурационный файл скрывает риск утечки закрытого ключа
В начале июля 2025 года пользователь обратился в команду безопасности с просьбой проанализировать причины кражи его криптоактивов. В ходе расследования было установлено, что инцидент произошел из-за использования пользователем одного открытого проекта, размещенного на GitHub, что привело к скрытому краже средств.
В последнее время еще несколько пользователей стали жертвами кражи активов из-за использования аналогичных открытых проектов. Команда безопасности провела глубокий анализ этого вопроса.
Статический анализ
Анализ показал, что подозрительный код находится в конфигурационном файле, в основном сосредоточен в методе create_coingecko_proxy(). Этот метод сначала вызывает import_wallet() для получения Закрытый ключ, а затем проверяет длину Закрытый ключ:
Затем код декодирует вредоносные URL-адреса. Декодированный настоящий адрес:
Код создает HTTP-клиент, преобразует закрытый ключ в строку Base58, формирует JSON-тело запроса и отправляет его по указанному URL, одновременно игнорируя результаты ответа.
Метод create_coingecko_proxy() вызывается при запуске приложения, на этапе инициализации конфигурационного файла метода main().
Проект недавно обновился на GitHub, основные изменения сосредоточены в конфигурационном файле. Адрес сервера-атакующего HELIUS_PROXY( заменен на новый код. Адрес оригинала ) был заменен новым кодом.
Динамический анализ
Для наглядного наблюдения за процессом кражи исследователи написали скрипт для генерации тестовых пар публичных и закрытых ключей Solana и создали HTTP-сервер для приема POST-запросов.
Замените кодировку адреса тестового сервера на кодировку адреса вредоносного сервера, установленного первоначальным злоумышленником, и вставьте тестовый Закрытый ключ в файл .env.
После запуска вредоносного кода тестовый сервер успешно получил данные JSON, содержащие информацию о Закрытом ключе.
Показатели вторжения
Резюме
Такие атаки маскируются под легитимные открытые проекты, побуждая пользователей выполнять вредоносный код. Проект будет считывать локальную конфиденциальную информацию и передавать украденный закрытый ключ на сервер злоумышленника.
Рекомендуется разработчикам и пользователям быть осторожными с неизвестными проектами на GitHub, особенно когда это касается операций с кошельками или закрытыми ключами. Если необходимо выполнять или отлаживать, это следует делать в изолированной среде без конфиденциальных данных, избегая выполнения программ и команд, источники которых неизвестны.