Екосистема Solana знову зазнала атаки зловмисних Ботів, Відкритий вихідний код проекту приховує пастки для крадіжки Закритий ключ.

robot
Генерація анотацій у процесі

У екосистемі Solana знову з'явилися зловмисні боти: профілі приховують пастки для витоку закритого ключа

Нещодавно один користувач втратив свої криптоактиви через використання відкритого проекту під назвою pumpfun-pumpswap-sniper-copy-trading-bot. Команда безпеки провела глибокий аналіз цього випадку.

Статичний аналіз

Аналіз показав, що підозрілий код знаходиться у файлі конфігурації /src/common/config.rs, основна частина зосереджена в методі create_coingecko_proxy(). Цей метод спочатку викликає import_wallet() для отримання Закритий ключ, а потім декодує шкідливі URL-адреси.

Декодована реальна адреса:

Зловмисний код потім формує JSON запит, упаковуючи інформацію про закритий ключ, і надсилає її через POST запит на вказану URL. Незалежно від того, який результат повертає сервер, зловмисний код продовжить виконуватись, щоб уникнути виявлення користувачем.

метод create_coingecko_proxy() викликається під час запуску програми, розташований на етапі ініціалізації конфігураційного файлу методу main() у main.rs.

Цей проект нещодавно оновлений на GitHub 17 липня 2025 року. Основні зміни зосереджені на конфігураційних файлах у каталозі src, зокрема в config.rs. Оригінальна адреса сервера зловмисника HELIUS_PROXY( була замінена на нове кодування.

![Solana екосистема знову стала жертвою зловмисних ботів: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(

![Solana екосистема знову зазнає атак зловмисних ботів: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(

![Solana екосистема знову піддається атакам зловмисних ботів: у конфігураційних файлах ховаються пастки для витоку закритих ключів])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(

![Solana екосистема знову з'явилася зловмисними ботами: конфігураційний файл приховує пастку для передачі закритого ключа])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(

![Solana екосистема знову зловмисні боти: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(

![Solana екосистема знову стала жертвою зловмисних Ботів: профіль приховує пастку для витоку Закритий ключ])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(

![Solana екосистема знову стала жертвою злочинних ботів: у конфігураційних файлах приховані пастки для витоку закритих ключів])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(

![Solana екосистема знову піддається атакам зловмисних Ботів: в конфігурації приховано пастку для передачі Закритого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(

Динамічний аналіз

Щоб наочно спостерігати за процесом крадіжки шкідливого коду, дослідники написали сценарій на Python для генерації тестової пари публічного та закритого ключів Solana і створили HTTP-сервер для прийому POST-запитів.

Заміна коду адреси тестового сервера на коду зловмисного сервера, встановленого початковим зловмисником, і заміна PRIVATE_KEY) Закритий ключ( у файлі .env на тестовий Закритий ключ.

Після запуску шкідливого коду тестовий сервер успішно отримав JSON дані, надіслані шкідливим проєктом, які містять Закритий ключ)інформацію.

Solana екосистема знову піддається атакам зловмисних ботів: конфігураційний файл приховує пастку для витоку закритого ключа

Solana екосистема знову стала жертвою зловмисних ботів: профіль містить пастку для витоку закритого ключа

Solana екосистема знову під загрозою від злочинних ботів: конфігураційний файл приховує пастку для витоку закритого ключа

Solana екосистема знову стала жертвою злочинних ботів: профілі приховують пастки для витоку Закритий ключ

Solana екосистема знову стала жертвою зловмисних ботів: конфігураційний файл приховує пастку для витоку закритого ключа

Solana екосистема знову піддається атаці зловмисних Ботів: файл конфігурації приховує пастку для витоку Закритий ключ

Solana екосистема знову стала жертвою зловмисних Ботів: конфігураційний файл приховує пастку для витоку Закритий ключ

Solana екосистема знову стала жертвою зловмисних ботів: профіль приховує пастку для витоку закритого ключа

Solana екосистема знову зазнає атаки зловмисних ботов: конфігураційний файл приховує пастку для витоку закритого ключа

Показники вторгнення ( IoCs )

Інтернет: 103.35.189.28 Доменне ім'я: storebackend-qpq3.onrender.com

Зловмисний репозиторій:

Інші репозиторії з подібними методами реалізації також наведені.

Зловмисні боти знову з'явилися в екосистемі Solana: конфігураційний файл приховує пастку для передачі закритого ключа

Solana екосистема знову з'явилася з шкідливими Ботами: профіль приховує закритий ключ для передачі

Підсумок

Атакуючі маскуються під легітимні проекти з відкритим кодом, спонукаючи користувачів завантажувати та виконувати цей шкідливий код. Цей проект читає чутливу інформацію з локального файлу .env та передає вкрадені Закритий ключ на сервер, контрольований атакуючими.

Рекомендується розробникам і користувачам бути особливо обережними з проектами GitHub, джерело яких не відоме, особливо коли йдеться про операції з гаманцем або Закритим ключем. Якщо необхідно запускати або налагоджувати, рекомендується робити це в ізольованому середовищі без чутливих даних, щоб уникнути виконання зловмисних програм і команд невідомого походження.

В екосистемі Solana знову з'явилися зловмисні боти: профіль приховує пастку для витоку закритого ключа

SOL-1.22%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • 7
  • Поділіться
Прокоментувати
0/400
NFTDreamervip
· 18год тому
Знову ловлять невдах, пастка занадто знайома.
Переглянути оригіналвідповісти на0
LiquidationWatchervip
· 18год тому
Справді не думав, що sol приховує такі пастки.
Переглянути оригіналвідповісти на0
AirdropHunterWangvip
· 18год тому
Якщо людина дурна, то повинна потрапити в пастку. Закритий ключ — і вже немає куди бігти.
Переглянути оригіналвідповісти на0
BlockTalkvip
· 18год тому
Знову когось обдурили, як лохів, в solana...
Переглянути оригіналвідповісти на0
EthMaximalistvip
· 18год тому
Цікаво, що в мережі sol щодня крадуть.
Переглянути оригіналвідповісти на0
GovernancePretendervip
· 18год тому
Щоденне нагадування, ще одна пастка, будьте обережні, роздрібні інвестори.
Переглянути оригіналвідповісти на0
BearMarketSurvivorvip
· 18год тому
Я хочу подивитися, хто ще наважиться торкнутися цього бота.
Переглянути оригіналвідповісти на0
  • Закріпити