Pada awal Juli 2025, seorang pengguna meminta bantuan tim keamanan, mengklaim bahwa aset kriptonya dicuri. Investigasi menunjukkan bahwa kejadian tersebut berasal dari pengguna yang menggunakan proyek sumber terbuka bernama solana-pumpfun-bot di GitHub, yang memicu perilaku pencurian koin yang tersembunyi.
Belakangan ini, ada pengguna yang kehilangan aset karena menggunakan proyek sumber terbuka seperti audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Tim keamanan telah melakukan analisis mendalam tentang hal ini.
Proses Analisis
Analisis Statik
Analisis menunjukkan bahwa kode mencurigakan terletak di file konfigurasi /src/common/config.rs, terutama terfokus pada metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet() untuk mendapatkan kunci pribadi, lalu melakukan pemeriksaan panjang kunci pribadi:
Jika panjang kurang dari 85, cetak pesan kesalahan dan terjebak dalam loop tak berujung
Jika panjang lebih dari 85, ubah Kunci Pribadi menjadi objek Keypair dan kemas
Kemudian, kode jahat mendekode alamat server penyerang, membangun tubuh permintaan JSON untuk mengirim Kunci Pribadi ke alamat tersebut. Pada saat yang sama, metode ini juga mencakup fungsi normal seperti mendapatkan harga untuk menyamarkan perilaku jahatnya.
metode create_coingecko_proxy() dipanggil saat aplikasi dimulai, terletak di fase inisialisasi file konfigurasi metode main() dalam main.rs.
IP server penyerang terletak di Amerika Serikat. Proyek ini baru-baru ini diperbarui di GitHub, yang terutama mengubah pengkodean alamat server dalam config.rs.
Analisis Dinamis
Untuk mengamati proses pencurian secara intuitif, kami menulis skrip untuk menghasilkan pasangan kunci uji, dan membangun server yang menerima permintaan POST. Gantilah alamat server uji yang telah dikodekan dengan alamat jahat yang asli, dan perbarui kunci pribadi di file .env.
Setelah kode berbahaya diaktifkan, server pengujian berhasil menerima data JSON yang berisi Kunci Pribadi.
Indikator Infiltrasi
IP: 103.35.189.28
Domain: storebackend-qpq3.onrender.com
Gudang jahat:
Ringkasan
Penyerang menyamar sebagai proyek sumber terbuka yang sah, membujuk pengguna untuk menjalankan kode berbahaya. Proyek ini membaca informasi sensitif dari file .env lokal dan mentransfer kunci pribadi yang dicuri ke server penyerang.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas asal-usulnya, terutama yang melibatkan operasi dompet atau Kunci Pribadi. Jika perlu menjalankan atau melakukan debugging, sebaiknya dilakukan di lingkungan yang terpisah dan tanpa data sensitif, serta menghindari menjalankan program dan perintah yang tidak diketahui sumbernya.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
12 Suka
Hadiah
12
6
Bagikan
Komentar
0/400
MysteryBoxBuster
· 2jam yang lalu
Tsk tsk tsk, melihat jebakan lagi.
Lihat AsliBalas0
gas_fee_therapist
· 2jam yang lalu
Solana memang sulit untuk dikendalikan, mari kita mulai dari detailnya.
Lihat AsliBalas0
GateUser-75ee51e7
· 2jam yang lalu
Meledak, saya benar-benar lelah.
Lihat AsliBalas0
AllTalkLongTrader
· 2jam yang lalu
suckers banyak bencana...jangan sampai dipermainkan
Lihat AsliBalas0
MeltdownSurvivalist
· 2jam yang lalu
Tidak membeli Sumber Terbuka merek acak adalah pilihan yang tepat.
Lihat AsliBalas0
BridgeNomad
· 2jam yang lalu
bukan kunci Anda bukan crypto Anda... eksploitasi solana lainnya smh
Ekosistem Solana kembali muncul Bot jahat pencuri Kunci Pribadi, harap hati-hati dalam menggunakan Sumber Terbuka proyek.
Ekosistem Solana Menemukan Bot Jahat: File Konfigurasi Menyimpan Perangkap Pengiriman Kunci Pribadi
Pada awal Juli 2025, seorang pengguna meminta bantuan tim keamanan, mengklaim bahwa aset kriptonya dicuri. Investigasi menunjukkan bahwa kejadian tersebut berasal dari pengguna yang menggunakan proyek sumber terbuka bernama solana-pumpfun-bot di GitHub, yang memicu perilaku pencurian koin yang tersembunyi.
Belakangan ini, ada pengguna yang kehilangan aset karena menggunakan proyek sumber terbuka seperti audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Tim keamanan telah melakukan analisis mendalam tentang hal ini.
Proses Analisis
Analisis Statik
Analisis menunjukkan bahwa kode mencurigakan terletak di file konfigurasi /src/common/config.rs, terutama terfokus pada metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet() untuk mendapatkan kunci pribadi, lalu melakukan pemeriksaan panjang kunci pribadi:
Kemudian, kode jahat mendekode alamat server penyerang, membangun tubuh permintaan JSON untuk mengirim Kunci Pribadi ke alamat tersebut. Pada saat yang sama, metode ini juga mencakup fungsi normal seperti mendapatkan harga untuk menyamarkan perilaku jahatnya.
metode create_coingecko_proxy() dipanggil saat aplikasi dimulai, terletak di fase inisialisasi file konfigurasi metode main() dalam main.rs.
IP server penyerang terletak di Amerika Serikat. Proyek ini baru-baru ini diperbarui di GitHub, yang terutama mengubah pengkodean alamat server dalam config.rs.
Analisis Dinamis
Untuk mengamati proses pencurian secara intuitif, kami menulis skrip untuk menghasilkan pasangan kunci uji, dan membangun server yang menerima permintaan POST. Gantilah alamat server uji yang telah dikodekan dengan alamat jahat yang asli, dan perbarui kunci pribadi di file .env.
Setelah kode berbahaya diaktifkan, server pengujian berhasil menerima data JSON yang berisi Kunci Pribadi.
Indikator Infiltrasi
IP: 103.35.189.28
Domain: storebackend-qpq3.onrender.com
Gudang jahat:
Ringkasan
Penyerang menyamar sebagai proyek sumber terbuka yang sah, membujuk pengguna untuk menjalankan kode berbahaya. Proyek ini membaca informasi sensitif dari file .env lokal dan mentransfer kunci pribadi yang dicuri ke server penyerang.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas asal-usulnya, terutama yang melibatkan operasi dompet atau Kunci Pribadi. Jika perlu menjalankan atau melakukan debugging, sebaiknya dilakukan di lingkungan yang terpisah dan tanpa data sensitif, serta menghindari menjalankan program dan perintah yang tidak diketahui sumbernya.