Ecosistema de Solana muestra de nuevo Bots maliciosos: trampa para robar Llave privada oculta en el perfil de configuración
A principios de julio de 2025, un usuario pidió ayuda al equipo de seguridad Slow Mist, solicitando el análisis de la razón por la cual sus activos criptográficos fueron robados. La investigación descubrió que el incidente se originó en el uso por parte del usuario de un proyecto de código abierto alojado en GitHub, zldp2002/solana-pumpfun-bot, lo que provocó un comportamiento oculto de robo de activos.
Recientemente, otro usuario sufrió el robo de activos criptográficos al utilizar un proyecto de código abierto similar a audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot, y se puso en contacto con el equipo de seguridad de Slow Mist. En respuesta, el equipo realizó un análisis exhaustivo.
Proceso de análisis
Análisis estático
A través del análisis estático, se encontró que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet(), que a su vez llama a import_env_var() para obtener la Llave privada.
En el método import_env_var(), si la variable de entorno existe, se devuelve directamente; si no existe, se entra en la rama Err(e) y se imprime el mensaje de error. Debido a la existencia de un bucle loop{} sin condiciones de salida, se producirá un consumo continuo de recursos.
La Llave privada y otra información sensible se almacenan en el archivo .env. Cuando se obtiene la Llave privada, el código malicioso verificará la longitud de la llave privada:
Si es menor que 85, imprime un mensaje de error y sigue consumiendo recursos;
Si es mayor que 85, convierta esta cadena Base58 en un objeto Keypair, que incluye la información de la Llave privada.
Luego, el código malicioso utiliza Arc para encapsular la información de la Llave privada, con el fin de soportar el uso compartido multihilo.
A continuación, decodificamos la dirección URL maliciosa. Primero, obtenemos la constante codificada HELIUS_PROXY(, que es la dirección del servidor del atacante ), y la decodificamos utilizando bs58, luego convertimos el resultado a un arreglo de bytes y finalmente a una cadena UTF-8.
La dirección real después de la decodificación es:
El código malicioso luego crea un cliente HTTP, convierte la información de la Llave privada en una cadena Base58, construye el cuerpo de la solicitud JSON y envía la Llave privada y otros datos a esa URL mediante una solicitud POST, ignorando al mismo tiempo el resultado de la respuesta.
Además, el método create_coingecko_proxy() también incluye funciones normales como la obtención de precios, utilizadas para ocultar su comportamiento malicioso. Este método se llama al iniciar la aplicación, durante la fase de inicialización del archivo de configuración del método main() en main.rs.
Según el análisis, la dirección IP del servidor del atacante se encuentra en Estados Unidos.
El proyecto se actualizó recientemente el 17 de julio de 2025 en GitHub, con los principales cambios concentrados en el archivo de configuración config.rs en el directorio src. La codificación de la dirección original de HELIUS_PROXY ha sido reemplazada por una nueva codificación.
( Análisis dinámico
Para observar de manera intuitiva el proceso de robo de código malicioso, escribimos un script en Python para generar un par de llaves públicas y privadas de Solana para pruebas, y configuramos un servidor HTTP en el servidor que puede recibir solicitudes POST.
Reemplace el código del servidor de prueba generado con el código de dirección del servidor malicioso configurado por el atacante y reemplace PRIVATE_KEY en el archivo .env con la llave privada de prueba.
Después de iniciar el código malicioso, se puede ver que el servidor de pruebas ha recibido con éxito los datos JSON enviados por el proyecto malicioso, que contienen información de la Llave privada.
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp###
En este ataque, los atacantes se hacen pasar por un proyecto de código abierto legítimo, induciendo a los usuarios a descargar y ejecutar código malicioso. Este proyecto lee información sensible del archivo .env local y transmite la llave privada robada a un servidor controlado por los atacantes. Este tipo de ataque suele combinar técnicas de ingeniería social, y un pequeño descuido por parte del usuario puede resultar en una infección.
Se recomienda a los desarrolladores y usuarios mantenerse alerta ante proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones de billetera o Llave privada. Si es necesario ejecutar o depurar, se sugiere hacerlo en un entorno aislado y sin datos sensibles, evitando la ejecución de programas y comandos maliciosos de origen desconocido.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Nuevos bots maliciosos de Solana: análisis del código de robo de llaves privadas y medidas de prevención
Ecosistema de Solana muestra de nuevo Bots maliciosos: trampa para robar Llave privada oculta en el perfil de configuración
A principios de julio de 2025, un usuario pidió ayuda al equipo de seguridad Slow Mist, solicitando el análisis de la razón por la cual sus activos criptográficos fueron robados. La investigación descubrió que el incidente se originó en el uso por parte del usuario de un proyecto de código abierto alojado en GitHub, zldp2002/solana-pumpfun-bot, lo que provocó un comportamiento oculto de robo de activos.
Recientemente, otro usuario sufrió el robo de activos criptográficos al utilizar un proyecto de código abierto similar a audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot, y se puso en contacto con el equipo de seguridad de Slow Mist. En respuesta, el equipo realizó un análisis exhaustivo.
Proceso de análisis
Análisis estático
A través del análisis estático, se encontró que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet(), que a su vez llama a import_env_var() para obtener la Llave privada.
En el método import_env_var(), si la variable de entorno existe, se devuelve directamente; si no existe, se entra en la rama Err(e) y se imprime el mensaje de error. Debido a la existencia de un bucle loop{} sin condiciones de salida, se producirá un consumo continuo de recursos.
La Llave privada y otra información sensible se almacenan en el archivo .env. Cuando se obtiene la Llave privada, el código malicioso verificará la longitud de la llave privada:
Luego, el código malicioso utiliza Arc para encapsular la información de la Llave privada, con el fin de soportar el uso compartido multihilo.
A continuación, decodificamos la dirección URL maliciosa. Primero, obtenemos la constante codificada HELIUS_PROXY(, que es la dirección del servidor del atacante ), y la decodificamos utilizando bs58, luego convertimos el resultado a un arreglo de bytes y finalmente a una cadena UTF-8.
La dirección real después de la decodificación es:
El código malicioso luego crea un cliente HTTP, convierte la información de la Llave privada en una cadena Base58, construye el cuerpo de la solicitud JSON y envía la Llave privada y otros datos a esa URL mediante una solicitud POST, ignorando al mismo tiempo el resultado de la respuesta.
Además, el método create_coingecko_proxy() también incluye funciones normales como la obtención de precios, utilizadas para ocultar su comportamiento malicioso. Este método se llama al iniciar la aplicación, durante la fase de inicialización del archivo de configuración del método main() en main.rs.
Según el análisis, la dirección IP del servidor del atacante se encuentra en Estados Unidos.
El proyecto se actualizó recientemente el 17 de julio de 2025 en GitHub, con los principales cambios concentrados en el archivo de configuración config.rs en el directorio src. La codificación de la dirección original de HELIUS_PROXY ha sido reemplazada por una nueva codificación.
( Análisis dinámico
Para observar de manera intuitiva el proceso de robo de código malicioso, escribimos un script en Python para generar un par de llaves públicas y privadas de Solana para pruebas, y configuramos un servidor HTTP en el servidor que puede recibir solicitudes POST.
Reemplace el código del servidor de prueba generado con el código de dirección del servidor malicioso configurado por el atacante y reemplace PRIVATE_KEY en el archivo .env con la llave privada de prueba.
Después de iniciar el código malicioso, se puede ver que el servidor de pruebas ha recibido con éxito los datos JSON enviados por el proyecto malicioso, que contienen información de la Llave privada.
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp###
Indicadores de compromiso ( IoCs )
IPs: 103.35.189.28
Dominios: storebackend-qpq3.onrender.com
SHA256:
Repositorio malicioso:
Métodos de implementación similares:
Resumen
En este ataque, los atacantes se hacen pasar por un proyecto de código abierto legítimo, induciendo a los usuarios a descargar y ejecutar código malicioso. Este proyecto lee información sensible del archivo .env local y transmite la llave privada robada a un servidor controlado por los atacantes. Este tipo de ataque suele combinar técnicas de ingeniería social, y un pequeño descuido por parte del usuario puede resultar en una infección.
Se recomienda a los desarrolladores y usuarios mantenerse alerta ante proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones de billetera o Llave privada. Si es necesario ejecutar o depurar, se sugiere hacerlo en un entorno aislado y sin datos sensibles, evitando la ejecución de programas y comandos maliciosos de origen desconocido.