У екосистемі Solana знову з'явилися зловмисні боти: конфігураційний файл приховує ризик витоку закритого ключа
На початку липня 2025 року один користувач звернувся до команди безпеки з проханням проаналізувати причини крадіжки його криптоактивів. Розслідування виявило, що інцидент стався через те, що користувач скористався відкритим проектом, розміщеним на GitHub, що призвело до прихованих дій з крадіжки монет.
Нещодавно ще один користувач став жертвою крадіжки активів через використання подібних відкритих проєктів. Команда безпеки провела глибокий аналіз цього питання.
Статичний аналіз
Аналіз виявив підозрілий код у конфігураційному файлі, який в основному зосереджений у методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ, а потім здійснює перевірку довжини Закритий ключ:
Якщо довжина закритого ключа менша за 85, програма виведе повідомлення про помилку та продовжить споживати ресурси;
Якщо довжина закритого ключа перевищує 85, то перетворіть цей рядок Base58 на об'єкт Keypair, що містить інформацію про закритий ключ.
Потім код декодує шкідливу URL-адресу. Декодована реальна адреса:
Код створює HTTP-клієнта, перетворює закритий ключ у рядок Base58, формує JSON-тело запиту та надсилає його на вказаний URL, при цьому ігноруючи результати відповіді.
метод create_coingecko_proxy() викликається під час запуску програми, на етапі ініціалізації конфігураційного файлу методу main().
Проект нещодавно був оновлений на GitHub, основні зміни зосереджені в конфігураційних файлах. Адреса оригінального сервера атакувальника HELIUS_PROXY( була замінена на нове кодування.
![В екосистемі Solana знову з'явилися злочинні боти: у профілі приховано пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
Динамічний аналіз
Щоб наочно спостерігати за процесом крадіжки, дослідники написали скрипт для генерації тестових пар відкритих і закритих ключів Solana та створили HTTP-сервер для прийому POST-запитів.
Замініть кодування адреси тестового сервера на кодування адреси зловмисного сервера, встановленого початковим зловмисником, і введіть тестовий Закритий ключ у файл .env.
Після запуску шкідливого коду тестовий сервер успішно отримав дані JSON, які містять інформацію про Закритий ключ.
![Зловмисні боти знову з'явилися в екосистемі Solana: профілі приховують пастки для витоку закритих ключів])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana екосистема знову зіткнулася з злочинними ботами: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana екосистема знову стала жертвою злочинних Ботів: конфігураційний файл приховує пастку для передачі Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana екосистема знову під загрозою від злочинних ботів: у конфігураційних файлах приховані пастки для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana екосистема знову під ударом від зловмисних Ботів: профіль приховує пастку для витоку Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana екосистема знову стала жертвою злочинних Ботів: в конфігураційних файлах захований капкан для передачі Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Зловмисні боти в екосистемі Solana: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana екосистема знову піддається атаці зловмисних Ботів: у профілі приховано пастку для витоку Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana екосистема знову стала жертвою зловмисних ботів: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana екосистема знову демонструє зловмисних ботів: профіль приховує пастку для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana екосистема знову під загрозою від злочинних Ботів: профіль приховує пастку для витоку Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Зловмисні боти знову з'явилися в екосистемі Solana: профіль містить пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana екосистема знову представила зловмисних ботів: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana екосистема знову демонструє зловмисних ботів: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Solana екосистема знову зазнала нападу зловмисних ботів: у профілі приховано пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Solana екосистема знову піддається атаці з боку шкідливих ботів: конфігураційний файл приховує пастку для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![В екосистемі Solana знову з'явилися зловмисні боти: у профілі приховано пастки для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Solana екосистема знову зі зловмисними ботами: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![Solana екосистема знову під загрозою від шкідливих ботів: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Показники вторгнення
ІР: 103.35.189.28
Доменне ім'я: storebackend-qpq3.onrender.com
Зловмисні сховища:
Підсумок
Цей тип атаки маскується під легітимні відкриті проекти, спонукаючи користувачів виконувати шкідливий код. Проект читає локальну чутливу інформацію та передає вкрадений Закритий ключ на сервер атакуюча.
Рекомендується розробникам бути обережними з невідомими проектами на GitHub, особливо коли йдеться про гаманці або операції з Закритим ключем. Якщо потрібно виконати або налагодити, слід робити це в ізольованому середовищі без чутливих даних, уникаючи виконання програм і команд з невідомих джерел.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
8
Репост
Поділіться
Прокоментувати
0/400
CounterIndicator
· 07-26 05:07
Ай, хіба не казали, що треба бути обережними з відкритим вихідним кодом?
Переглянути оригіналвідповісти на0
DegenApeSurfer
· 07-24 14:54
Відкритий вихідний код, хто ще наважиться торкнутися sol
Переглянути оригіналвідповісти на0
SilentObserver
· 07-24 14:54
Знову відкриває таємничу скриньку
Переглянути оригіналвідповісти на0
DaoResearcher
· 07-24 14:44
Згідно зі структурою вихідного коду, це типовий спосіб атаки на крадіжку закритого ключа Base58, який виявляє смертельний недолік безпеки в екосистемі Sol у сфері аудиту безпеки.
Переглянути оригіналвідповісти на0
RunWhenCut
· 07-24 14:42
знову обдурювали людей, як лохів Відкритий вихідний код втрачає гроші
Solana зловмисні боти знову з'явилися, конфігураційний файл приховує ризик витоку закритого ключа
У екосистемі Solana знову з'явилися зловмисні боти: конфігураційний файл приховує ризик витоку закритого ключа
На початку липня 2025 року один користувач звернувся до команди безпеки з проханням проаналізувати причини крадіжки його криптоактивів. Розслідування виявило, що інцидент стався через те, що користувач скористався відкритим проектом, розміщеним на GitHub, що призвело до прихованих дій з крадіжки монет.
Нещодавно ще один користувач став жертвою крадіжки активів через використання подібних відкритих проєктів. Команда безпеки провела глибокий аналіз цього питання.
Статичний аналіз
Аналіз виявив підозрілий код у конфігураційному файлі, який в основному зосереджений у методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ, а потім здійснює перевірку довжини Закритий ключ:
Потім код декодує шкідливу URL-адресу. Декодована реальна адреса:
Код створює HTTP-клієнта, перетворює закритий ключ у рядок Base58, формує JSON-тело запиту та надсилає його на вказаний URL, при цьому ігноруючи результати відповіді.
метод create_coingecko_proxy() викликається під час запуску програми, на етапі ініціалізації конфігураційного файлу методу main().
Проект нещодавно був оновлений на GitHub, основні зміни зосереджені в конфігураційних файлах. Адреса оригінального сервера атакувальника HELIUS_PROXY( була замінена на нове кодування.
![В екосистемі Solana знову з'явилися злочинні боти: у профілі приховано пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
Динамічний аналіз
Щоб наочно спостерігати за процесом крадіжки, дослідники написали скрипт для генерації тестових пар відкритих і закритих ключів Solana та створили HTTP-сервер для прийому POST-запитів.
Замініть кодування адреси тестового сервера на кодування адреси зловмисного сервера, встановленого початковим зловмисником, і введіть тестовий Закритий ключ у файл .env.
Після запуску шкідливого коду тестовий сервер успішно отримав дані JSON, які містять інформацію про Закритий ключ.
![Зловмисні боти знову з'явилися в екосистемі Solana: профілі приховують пастки для витоку закритих ключів])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana екосистема знову зіткнулася з злочинними ботами: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana екосистема знову стала жертвою злочинних Ботів: конфігураційний файл приховує пастку для передачі Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana екосистема знову під загрозою від злочинних ботів: у конфігураційних файлах приховані пастки для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana екосистема знову під ударом від зловмисних Ботів: профіль приховує пастку для витоку Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana екосистема знову стала жертвою злочинних Ботів: в конфігураційних файлах захований капкан для передачі Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Зловмисні боти в екосистемі Solana: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Solana екосистема знову піддається атаці зловмисних Ботів: у профілі приховано пастку для витоку Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana екосистема знову стала жертвою зловмисних ботів: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana екосистема знову демонструє зловмисних ботів: профіль приховує пастку для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana екосистема знову під загрозою від злочинних Ботів: профіль приховує пастку для витоку Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Зловмисні боти знову з'явилися в екосистемі Solana: профіль містить пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana екосистема знову представила зловмисних ботів: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana екосистема знову демонструє зловмисних ботів: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Solana екосистема знову зазнала нападу зловмисних ботів: у профілі приховано пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Solana екосистема знову піддається атаці з боку шкідливих ботів: конфігураційний файл приховує пастку для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![В екосистемі Solana знову з'явилися зловмисні боти: у профілі приховано пастки для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Solana екосистема знову зі зловмисними ботами: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![Solana екосистема знову під загрозою від шкідливих ботів: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Показники вторгнення
Підсумок
Цей тип атаки маскується під легітимні відкриті проекти, спонукаючи користувачів виконувати шкідливий код. Проект читає локальну чутливу інформацію та передає вкрадений Закритий ключ на сервер атакуюча.
Рекомендується розробникам бути обережними з невідомими проектами на GitHub, особливо коли йдеться про гаманці або операції з Закритим ключем. Якщо потрібно виконати або налагодити, слід робити це в ізольованому середовищі без чутливих даних, уникаючи виконання програм і команд з невідомих джерел.