Solana生态再现恶意机器人:配置文件暗藏私钥外传风险

2025年7月初,一位用户求助安全团队分析其加密资产被盗原因。调查发现,事件源于该用户使用了托管在GitHub上的一个开源项目,进而触发了隐蔽的盗币行为。

近期,又有用户因使用类似的开源项目导致资产被盗。安全团队对此进行了深入分析。

静态分析

分析发现可疑代码位于配置文件中,主要集中在create_coingecko_proxy()方法内。该方法首先调用import_wallet()获取私钥,然后对私钥长度进行判断:

• 若私钥长度小于85,程序将打印错误信息并持续消耗资源;
• 若私钥长度大于85,则将该Base58字符串转换为包含私钥信息的Keypair对象。

随后,代码对恶意URL地址进行解码。解码后的真实地址为:

代码创建HTTP客户端,将私钥转换为Base58字符串,构造JSON请求体并发送至上述URL,同时忽略响应结果。

create_coingecko_proxy()方法在应用启动时被调用,位于main()方法的配置文件初始化阶段。

该项目近期在GitHub上进行了更新,主要更改集中在配置文件中。HELIUS_PROXY(攻击者服务器地址)的原地址编码已被替换为新的编码。

动态分析

为直观观察盗窃过程,研究人员编写脚本生成测试用的Solana公私钥对,并搭建接收POST请求的HTTP服务器。

将测试服务器地址编码替换原攻击者设置的恶意服务器地址编码,并将测试私钥填入.env文件。

启动恶意代码后,测试服务器成功接收到JSON数据,其中包含私钥信息。

入侵指标

• IP: 103.35.189.28
• 域名: storebackend-qpq3.onrender.com
• 恶意仓库:

总结

此类攻击通过伪装成合法开源项目,诱导用户执行恶意代码。项目会读取本地敏感信息,并将盗取的私钥传输至攻击者服务器。

建议开发者与用户对来路不明的GitHub项目保持警惕,尤其涉及钱包或私钥操作时。如需运行或调试,应在独立且无敏感数据的环境中进行,避免执行来源不明的程序和命令。