Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası Özel Anahtar sızıntı riski barındırıyor
2025 yılının Temmuz ayının başlarında, bir kullanıcı güvenlik ekibinden kripto varlıklarının çalınma nedenini analiz etmelerini istedi. Yapılan araştırmada, olayın bu kullanıcının GitHub'da barındırılan bir açık kaynak projesini kullanmasından kaynaklandığı ve bunun sonucunda gizli bir para çalma eyleminin tetiklendiği tespit edildi.
Son zamanlarda, benzer açık kaynak projelerini kullanan bazı kullanıcıların varlıkları çalındı. Güvenlik ekibi bu durumu derinlemesine analiz etti.
Statik Analiz
Analiz, şüpheli kodun yapılandırma dosyasında bulunduğunu, esas olarak create_coingecko_proxy() yönteminde yoğunlaştığını ortaya koydu. Bu yöntem önce import_wallet()'i çağırarak Özel Anahtar'ı alıyor, ardından Özel Anahtar'ın uzunluğunu kontrol ediyor:
Eğer özel anahtarın uzunluğu 85'ten küçükse, program hata mesajı yazdıracak ve kaynak tüketmeye devam edecektir;
Eğer özel anahtar uzunluğu 85'ten büyükse, bu Base58 dizisini özel anahtar bilgilerini içeren bir Keypair nesnesine dönüştür.
Ardından, kod kötü niyetli URL adresini çözüyor. Çözülmüş gerçek adres:
Kod, HTTP istemcisi oluşturur, özel anahtarı Base58 dizisine dönüştürür, JSON istek gövdesini yapılandırır ve yukarıda belirtilen URL'ye gönderir, aynı zamanda yanıt sonucunu göz ardı eder.
create_coingecko_proxy() yöntemi, uygulama başlatıldığında çağrılır ve main() yönteminin yapılandırma dosyası başlatma aşamasındadır.
Proje yakın zamanda GitHub'da güncellendi, ana değişiklikler yapılandırma dosyasında yoğunlaşmıştır. HELIUS_PROXY( saldırgan sunucu adresinin ) eski adres kodlaması yeni kodlama ile değiştirilmiştir.
Dinamik Analiz
Hırsızlık sürecini görsel olarak gözlemlemek için araştırmacılar, test amaçlı Solana açık-özel anahtar çiftleri oluşturmak üzere bir script yazdı ve POST isteklerini alacak bir HTTP sunucusu kurdu.
Test sunucu adresi kodlamasını, saldırganın ayarladığı kötü niyetli sunucu adresi kodlamasıyla değiştirecek ve test özel anahtarını .env dosyasına yerleştireceksiniz.
Kötü amaçlı kod başlatıldıktan sonra, test sunucusu JSON verilerini başarıyla aldı ve bu verilerde Özel Anahtar bilgisi bulunuyor.
İstila Göstergeleri
IP: 103.35.189.28
Alan Adı: storebackend-qpq3.onrender.com
Kötü Niyetli Depo:
Özet
Bu tür saldırılar, meşru açık kaynak projeleri olarak kendilerini gizleyerek kullanıcıları kötü niyetli kodları çalıştırmaya zorlar. Proje, yerel hassas bilgileri okur ve çalınan Özel Anahtarları saldırganın sunucusuna iletir.
Geliştiricilerin, özellikle cüzdan veya Özel Anahtar işlemleriyle ilgili olarak, kaynağı belirsiz GitHub projelerine karşı dikkatli olmaları önerilir. Çalıştırma veya hata ayıklama gerekiyorsa, bağımsız ve hassas veri içermeyen bir ortamda yapılmalı, kaynağı belirsiz program ve komutların çalıştırılmasından kaçınılmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
8
Repost
Share
Comment
0/400
CounterIndicator
· 07-26 05:07
Ah, açık kaynak konusunda dikkatli olunması gerektiği söylenmedi mi?
View OriginalReply0
DegenApeSurfer
· 07-24 14:54
Açık Kaynak Açık Kaynak kim hâlâ sol kaynak koduna dokunmaya cesaret edebilir
View OriginalReply0
SilentObserver
· 07-24 14:54
Yine bir GİZEMLİ KUTU açıyor.
View OriginalReply0
DaoResearcher
· 07-24 14:44
Kaynak kodu yapısına dayanarak, bu tipik bir Base58 Özel Anahtar hırsızlık saldırı modelidir ve Sol ekosisteminin güvenlik denetimindeki ölümcül bir açığını ortaya çıkarmaktadır.
View OriginalReply0
RunWhenCut
· 07-24 14:42
yine insanları enayi yerine koymak Açık Kaynak para kaybı
Solana kötü niyetli Botlar yeniden ortaya çıktı, yapılandırma dosyası Özel Anahtar sızıntı riski taşıyor.
Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası Özel Anahtar sızıntı riski barındırıyor
2025 yılının Temmuz ayının başlarında, bir kullanıcı güvenlik ekibinden kripto varlıklarının çalınma nedenini analiz etmelerini istedi. Yapılan araştırmada, olayın bu kullanıcının GitHub'da barındırılan bir açık kaynak projesini kullanmasından kaynaklandığı ve bunun sonucunda gizli bir para çalma eyleminin tetiklendiği tespit edildi.
Son zamanlarda, benzer açık kaynak projelerini kullanan bazı kullanıcıların varlıkları çalındı. Güvenlik ekibi bu durumu derinlemesine analiz etti.
Statik Analiz
Analiz, şüpheli kodun yapılandırma dosyasında bulunduğunu, esas olarak create_coingecko_proxy() yönteminde yoğunlaştığını ortaya koydu. Bu yöntem önce import_wallet()'i çağırarak Özel Anahtar'ı alıyor, ardından Özel Anahtar'ın uzunluğunu kontrol ediyor:
Ardından, kod kötü niyetli URL adresini çözüyor. Çözülmüş gerçek adres:
Kod, HTTP istemcisi oluşturur, özel anahtarı Base58 dizisine dönüştürür, JSON istek gövdesini yapılandırır ve yukarıda belirtilen URL'ye gönderir, aynı zamanda yanıt sonucunu göz ardı eder.
create_coingecko_proxy() yöntemi, uygulama başlatıldığında çağrılır ve main() yönteminin yapılandırma dosyası başlatma aşamasındadır.
Proje yakın zamanda GitHub'da güncellendi, ana değişiklikler yapılandırma dosyasında yoğunlaşmıştır. HELIUS_PROXY( saldırgan sunucu adresinin ) eski adres kodlaması yeni kodlama ile değiştirilmiştir.
Dinamik Analiz
Hırsızlık sürecini görsel olarak gözlemlemek için araştırmacılar, test amaçlı Solana açık-özel anahtar çiftleri oluşturmak üzere bir script yazdı ve POST isteklerini alacak bir HTTP sunucusu kurdu.
Test sunucu adresi kodlamasını, saldırganın ayarladığı kötü niyetli sunucu adresi kodlamasıyla değiştirecek ve test özel anahtarını .env dosyasına yerleştireceksiniz.
Kötü amaçlı kod başlatıldıktan sonra, test sunucusu JSON verilerini başarıyla aldı ve bu verilerde Özel Anahtar bilgisi bulunuyor.
İstila Göstergeleri
Özet
Bu tür saldırılar, meşru açık kaynak projeleri olarak kendilerini gizleyerek kullanıcıları kötü niyetli kodları çalıştırmaya zorlar. Proje, yerel hassas bilgileri okur ve çalınan Özel Anahtarları saldırganın sunucusuna iletir.
Geliştiricilerin, özellikle cüzdan veya Özel Anahtar işlemleriyle ilgili olarak, kaynağı belirsiz GitHub projelerine karşı dikkatli olmaları önerilir. Çalıştırma veya hata ayıklama gerekiyorsa, bağımsız ve hassas veri içermeyen bir ortamda yapılmalı, kaynağı belirsiz program ve komutların çalıştırılmasından kaçınılmalıdır.