Ecosistema de Solana vuelve a ser víctima de Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada
A principios de julio de 2025, un usuario solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos habían sido robados. La investigación reveló que el incidente se originó en el uso por parte del usuario de un proyecto de código abierto llamado solana-pumpfun-bot en GitHub, lo que desencadenó un comportamiento oculto de robo de monedas.
Recientemente, otros usuarios han perdido sus activos debido al uso de proyectos de código abierto similares como audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. El equipo de seguridad ha realizado un análisis exhaustivo al respecto.
Proceso de análisis
Análisis estático
El análisis revela que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada, y luego verifica la longitud de la Llave privada:
Si la longitud es menor que 85, imprime un mensaje de error y entra en un bucle infinito.
Si la longitud es mayor a 85, convierte la llave privada en un objeto Keypair y encapsúlalo.
A continuación, el código malicioso decodifica la dirección del servidor del atacante y construye un cuerpo de solicitud JSON para enviar la Llave privada a esa dirección. Al mismo tiempo, este método también incluye funciones normales como obtener el precio para disfrazar su comportamiento malicioso.
el método create_coingecko_proxy() se llama al iniciar la aplicación, durante la fase de inicialización del archivo de configuración del método main() en main.rs.
La IP del servidor del atacante se encuentra en Estados Unidos. El proyecto fue actualizado recientemente en GitHub, principalmente cambiando la codificación de la dirección del servidor en config.rs.
Análisis dinámico
Para observar de manera intuitiva el proceso de robo, hemos escrito un script para generar pares de claves de prueba y configurar un servidor para recibir solicitudes POST. Reemplace la dirección maliciosa original con la dirección del servidor de prueba codificada y actualice la llave privada en el archivo .env.
Después de iniciar el código malicioso, el servidor de pruebas recibió con éxito datos JSON que contienen la Llave privada.
Indicadores de intrusión
IP: 103.35.189.28
Dominio: storebackend-qpq3.onrender.com
Repositorio malicioso:
Resumen
Los atacantes se disfrazan de proyectos de código abierto legítimos para inducir a los usuarios a ejecutar código malicioso. El proyecto lee información sensible del archivo local .env y transfiere la llave privada robada al servidor del atacante.
Se recomienda a los desarrolladores y usuarios que mantengan precaución con proyectos de GitHub de origen desconocido, especialmente aquellos que involucren operaciones de billetera o Llave privada. Si es necesario ejecutar o depurar, debe hacerse en un entorno independiente y sin datos sensibles, evitando ejecutar programas y comandos de origen desconocido.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
6
Compartir
Comentar
0/400
MysteryBoxBuster
· hace5h
¡Tsk tsk tsk, otra vez la trampa!
Ver originalesResponder0
gas_fee_therapist
· hace5h
Solana es realmente difícil de controlar, se debe abordar desde los detalles.
Ver originalesResponder0
GateUser-75ee51e7
· hace5h
Explotó, realmente estoy cansado.
Ver originalesResponder0
AllTalkLongTrader
· hace5h
tontos han tenido muchas desgracias... no dejes que te tomen por tonto
Ver originalesResponder0
MeltdownSurvivalist
· hace5h
No comprar marcas desconocidas de Código abierto está bien.
Ver originalesResponder0
BridgeNomad
· hace5h
no tienes las llaves, no tienes tu cripto... otro exploit de Solana, smh
Se vuelve a presentar un malicioso Bots que roba Llaves privadas en el ecosistema de Solana. Tenga cuidado al usar proyectos de Código abierto.
Ecosistema de Solana vuelve a ser víctima de Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada
A principios de julio de 2025, un usuario solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos habían sido robados. La investigación reveló que el incidente se originó en el uso por parte del usuario de un proyecto de código abierto llamado solana-pumpfun-bot en GitHub, lo que desencadenó un comportamiento oculto de robo de monedas.
Recientemente, otros usuarios han perdido sus activos debido al uso de proyectos de código abierto similares como audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. El equipo de seguridad ha realizado un análisis exhaustivo al respecto.
Proceso de análisis
Análisis estático
El análisis revela que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada, y luego verifica la longitud de la Llave privada:
A continuación, el código malicioso decodifica la dirección del servidor del atacante y construye un cuerpo de solicitud JSON para enviar la Llave privada a esa dirección. Al mismo tiempo, este método también incluye funciones normales como obtener el precio para disfrazar su comportamiento malicioso.
el método create_coingecko_proxy() se llama al iniciar la aplicación, durante la fase de inicialización del archivo de configuración del método main() en main.rs.
La IP del servidor del atacante se encuentra en Estados Unidos. El proyecto fue actualizado recientemente en GitHub, principalmente cambiando la codificación de la dirección del servidor en config.rs.
Análisis dinámico
Para observar de manera intuitiva el proceso de robo, hemos escrito un script para generar pares de claves de prueba y configurar un servidor para recibir solicitudes POST. Reemplace la dirección maliciosa original con la dirección del servidor de prueba codificada y actualice la llave privada en el archivo .env.
Después de iniciar el código malicioso, el servidor de pruebas recibió con éxito datos JSON que contienen la Llave privada.
Indicadores de intrusión
IP: 103.35.189.28
Dominio: storebackend-qpq3.onrender.com
Repositorio malicioso:
Resumen
Los atacantes se disfrazan de proyectos de código abierto legítimos para inducir a los usuarios a ejecutar código malicioso. El proyecto lee información sensible del archivo local .env y transfiere la llave privada robada al servidor del atacante.
Se recomienda a los desarrolladores y usuarios que mantengan precaución con proyectos de GitHub de origen desconocido, especialmente aquellos que involucren operaciones de billetera o Llave privada. Si es necesario ejecutar o depurar, debe hacerse en un entorno independiente y sin datos sensibles, evitando ejecutar programas y comandos de origen desconocido.