Hệ sinh thái Solana tái hiện Bots độc hại: Hồ sơ cấu hình ẩn chứa rủi ro lộ khóa riêng
Vào đầu tháng 7 năm 2025, một người dùng đã yêu cầu đội ngũ an ninh phân tích nguyên nhân tài sản tiền điện tử của họ bị đánh cắp. Cuộc điều tra phát hiện ra rằng sự kiện này bắt nguồn từ việc người dùng đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub, từ đó kích hoạt hành vi đánh cắp tiền một cách bí mật.
Gần đây, lại có người dùng bị mất tài sản do sử dụng các dự án mã nguồn mở tương tự. Đội ngũ an ninh đã tiến hành phân tích sâu về vấn đề này.
Phân tích tĩnh
Phân tích phát hiện mã nghi ngờ nằm trong tệp cấu hình, chủ yếu tập trung vào phương thức create_coingecko_proxy(). Phương thức này đầu tiên gọi import_wallet() để lấy Khóa riêng, sau đó thực hiện kiểm tra độ dài của Khóa riêng:
Nếu chiều dài khóa riêng nhỏ hơn 85, chương trình sẽ in thông báo lỗi và tiếp tục tiêu tốn tài nguyên;
Nếu độ dài khóa riêng lớn hơn 85, hãy chuyển đổi chuỗi Base58 thành đối tượng Keypair chứa thông tin khóa riêng.
Sau đó, mã sẽ giải mã các địa chỉ URL độc hại. Địa chỉ thực sau khi giải mã là:
Mã tạo khách hàng HTTP, chuyển khóa riêng thành chuỗi Base58, xây dựng thân yêu cầu JSON và gửi đến URL trên, đồng thời bỏ qua kết quả phản hồi.
Phương pháp create_coingecko_proxy() được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình của phương pháp main().
Dự án này gần đây đã được cập nhật trên GitHub, các thay đổi chính tập trung vào tệp cấu hình. Địa chỉ máy chủ tấn công HELIUS_PROXY( đã được thay thế bằng mã hóa mới.
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
Phân tích động
Để quan sát trực quan quá trình trộm cắp, các nhà nghiên cứu đã viết kịch bản để tạo ra các cặp khóa công khai và riêng cho Solana dùng thử, và xây dựng một máy chủ HTTP để nhận các yêu cầu POST.
Thay thế mã hóa địa chỉ máy chủ thử nghiệm bằng mã hóa địa chỉ máy chủ độc hại mà kẻ tấn công đã thiết lập, và điền khóa riêng vào tệp .env.
Sau khi khởi động mã độc, máy chủ thử nghiệm đã nhận thành công dữ liệu JSON, trong đó chứa thông tin khóa riêng.
![Hệ sinh thái Solana tái xuất Bots độc hại: Tập tin cấu hình ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Hệ sinh thái Solana tái hiện Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Tệp cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Hệ sinh thái Solana lại xuất hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Hệ sinh thái Solana tái xuất robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Hệ sinh thái Solana xuất hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy truyền tải khóa riêng])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Hệ sinh thái Solana tái xuất robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Hệ sinh thái Solana xuất hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![Solana sinh thái xuất hiện Bots độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Hệ sinh thái Solana tái xuất hiện Bots độc hại: Hồ sơ được cấu hình ẩn chứa cạm bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![Hệ sinh thái Solana tái xuất robots độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Chỉ số xâm nhập
IP: 103.35.189.28
Tên miền: storebackend-qpq3.onrender.com
Kho chứa độc hại:
Tóm tắt
Các cuộc tấn công kiểu này lợi dụng việc ngụy trang thành các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng thực thi mã độc. Dự án sẽ đọc thông tin nhạy cảm trên máy tính và chuyển giao khóa riêng bị đánh cắp đến máy chủ của kẻ tấn công.
Khuyến nghị các nhà phát triển nên cảnh giác với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc khóa riêng. Nếu cần chạy hoặc gỡ lỗi, nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm, tránh thực thi các chương trình và lệnh không rõ nguồn gốc.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
8
Đăng lại
Chia sẻ
Bình luận
0/400
CounterIndicator
· 07-26 05:07
Ai không phải nói phải cẩn thận với Mã nguồn mở sao
Xem bản gốcTrả lời0
DegenApeSurfer
· 07-24 14:54
Mã nguồn mở Mã nguồn ai còn dám chạm vào sol
Xem bản gốcTrả lời0
SilentObserver
· 07-24 14:54
又是个开 hộp quà bí ẩn的
Xem bản gốcTrả lời0
DaoResearcher
· 07-24 14:44
Theo cấu trúc mã nguồn, đây là một mô hình tấn công đánh cắp khóa riêng Base58 điển hình, phơi bày những thiếu sót chết người trong việc kiểm toán an ninh của hệ sinh thái Sol.
Solana xuất hiện Bots độc hại, tệp cấu hình ẩn chứa rủi ro lộ Khóa riêng
Hệ sinh thái Solana tái hiện Bots độc hại: Hồ sơ cấu hình ẩn chứa rủi ro lộ khóa riêng
Vào đầu tháng 7 năm 2025, một người dùng đã yêu cầu đội ngũ an ninh phân tích nguyên nhân tài sản tiền điện tử của họ bị đánh cắp. Cuộc điều tra phát hiện ra rằng sự kiện này bắt nguồn từ việc người dùng đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub, từ đó kích hoạt hành vi đánh cắp tiền một cách bí mật.
Gần đây, lại có người dùng bị mất tài sản do sử dụng các dự án mã nguồn mở tương tự. Đội ngũ an ninh đã tiến hành phân tích sâu về vấn đề này.
Phân tích tĩnh
Phân tích phát hiện mã nghi ngờ nằm trong tệp cấu hình, chủ yếu tập trung vào phương thức create_coingecko_proxy(). Phương thức này đầu tiên gọi import_wallet() để lấy Khóa riêng, sau đó thực hiện kiểm tra độ dài của Khóa riêng:
Sau đó, mã sẽ giải mã các địa chỉ URL độc hại. Địa chỉ thực sau khi giải mã là:
Mã tạo khách hàng HTTP, chuyển khóa riêng thành chuỗi Base58, xây dựng thân yêu cầu JSON và gửi đến URL trên, đồng thời bỏ qua kết quả phản hồi.
Phương pháp create_coingecko_proxy() được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình của phương pháp main().
Dự án này gần đây đã được cập nhật trên GitHub, các thay đổi chính tập trung vào tệp cấu hình. Địa chỉ máy chủ tấn công HELIUS_PROXY( đã được thay thế bằng mã hóa mới.
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
Phân tích động
Để quan sát trực quan quá trình trộm cắp, các nhà nghiên cứu đã viết kịch bản để tạo ra các cặp khóa công khai và riêng cho Solana dùng thử, và xây dựng một máy chủ HTTP để nhận các yêu cầu POST.
Thay thế mã hóa địa chỉ máy chủ thử nghiệm bằng mã hóa địa chỉ máy chủ độc hại mà kẻ tấn công đã thiết lập, và điền khóa riêng vào tệp .env.
Sau khi khởi động mã độc, máy chủ thử nghiệm đã nhận thành công dữ liệu JSON, trong đó chứa thông tin khóa riêng.
![Hệ sinh thái Solana tái xuất Bots độc hại: Tập tin cấu hình ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Hệ sinh thái Solana tái hiện Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Tệp cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Hệ sinh thái Solana lại xuất hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Hệ sinh thái Solana tái xuất robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Hệ sinh thái Solana xuất hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy truyền tải khóa riêng])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Hệ sinh thái Solana tái xuất robot độc hại: Hồ sơ ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Hệ sinh thái Solana lại xuất hiện Bots độc hại: Hồ sơ ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Hệ sinh thái Solana xuất hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Hệ sinh thái Solana tái hiện robot độc hại: Hồ sơ cấu hình ẩn chứa bẫy lộ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![Solana sinh thái xuất hiện Bots độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Hệ sinh thái Solana tái xuất hiện Bots độc hại: Hồ sơ được cấu hình ẩn chứa cạm bẫy rò rỉ Khóa riêng])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
![Hệ sinh thái Solana tái xuất robots độc hại: Hồ sơ cấu hình ẩn chứa bẫy rò rỉ khóa riêng])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Chỉ số xâm nhập
Tóm tắt
Các cuộc tấn công kiểu này lợi dụng việc ngụy trang thành các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng thực thi mã độc. Dự án sẽ đọc thông tin nhạy cảm trên máy tính và chuyển giao khóa riêng bị đánh cắp đến máy chủ của kẻ tấn công.
Khuyến nghị các nhà phát triển nên cảnh giác với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc khóa riêng. Nếu cần chạy hoặc gỡ lỗi, nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm, tránh thực thi các chương trình và lệnh không rõ nguồn gốc.