Solana生態再現惡意機器人:配置文件暗藏私鑰外傳風險

2025年7月初,一位用戶求助安全團隊分析其加密資產被盜原因。調查發現,事件源於該用戶使用了托管在GitHub上的一個開源項目,進而觸發了隱蔽的盜幣行爲。

近期,又有用戶因使用類似的開源項目導致資產被盜。安全團隊對此進行了深入分析。

靜態分析

分析發現可疑代碼位於配置文件中,主要集中在create_coingecko_proxy()方法內。該方法首先調用import_wallet()獲取私鑰,然後對私鑰長度進行判斷:

• 若私鑰長度小於85,程序將打印錯誤信息並持續消耗資源;
• 若私鑰長度大於85,則將該Base58字符串轉換爲包含私鑰信息的Keypair對象。

隨後,代碼對惡意URL地址進行解碼。解碼後的真實地址爲:

代碼創建HTTP客戶端,將私鑰轉換爲Base58字符串,構造JSON請求體並發送至上述URL,同時忽略響應結果。

create_coingecko_proxy()方法在應用啓動時被調用,位於main()方法的配置文件初始化階段。

該項目近期在GitHub上進行了更新,主要更改集中在配置文件中。HELIUS_PROXY(攻擊者服務器地址)的原地址編碼已被替換爲新的編碼。

動態分析

爲直觀觀察盜竊過程,研究人員編寫腳本生成測試用的Solana公私鑰對,並搭建接收POST請求的HTTP服務器。

將測試服務器地址編碼替換原攻擊者設置的惡意服務器地址編碼,並將測試私鑰填入.env文件。

啓動惡意代碼後,測試服務器成功接收到JSON數據,其中包含私鑰信息。

入侵指標

• IP: 103.35.189.28
• 域名: storebackend-qpq3.onrender.com
• 惡意倉庫:

總結

此類攻擊通過僞裝成合法開源項目,誘導用戶執行惡意代碼。項目會讀取本地敏感信息,並將盜取的私鑰傳輸至攻擊者服務器。

建議開發者與用戶對來路不明的GitHub項目保持警惕,尤其涉及錢包或私鑰操作時。如需運行或調試,應在獨立且無敏感數據的環境中進行,避免執行來源不明的程序和命令。