L'écosystème Solana fait face à des bots malveillants : des fichiers de configuration cachent des pièges pour voler des Clés privées
Début juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité SlowMist, demandant une analyse des raisons pour lesquelles ses actifs cryptographiques ont été volés. L'enquête a révélé que l'incident provenait de l'utilisation par cet utilisateur du projet open source zldp2002/solana-pumpfun-bot hébergé sur GitHub, ce qui a déclenché un comportement furtif de vol d'actifs.
Récemment, des utilisateurs ont de nouveau perdu des actifs cryptographiques en utilisant des projets open source similaires à audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot et ont contacté l'équipe de sécurité SlowMist. À cet égard, l'équipe a effectué une analyse approfondie.
Processus d'analyse
Analyse statique
Grâce à l'analyse statique, un code suspect a été trouvé dans le fichier de configuration /src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet(), puis appelle import_env_var() pour obtenir la Clé privée.
Dans la méthode import_env_var(), si la variable d'environnement existe, elle est renvoyée directement ; si elle n'existe pas, elle entre dans la branche Err(e) et imprime un message d'erreur. En raison d'une boucle loop{} sans condition de sortie, cela entraîne une consommation continue de ressources.
Les informations sensibles telles que la Clé privée sont stockées dans le fichier .env. Lorsqu'il obtient la Clé privée, le code malveillant vérifiera la longueur de la clé privée :
Si inférieur à 85, imprimez un message d'erreur et continuez à consommer des ressources;
Si supérieur à 85, convertissez cette chaîne Base58 en objet Keypair, contenant des informations de clé privée.
Ensuite, le code malveillant utilise Arc pour encapsuler les informations de clé privée afin de prendre en charge le partage multithread.
Ensuite, décodez l'URL malveillant. Tout d'abord, récupérez l'adresse du serveur de l'attaquant HELIUS_PROXY(, cette constante codée en dur ), décodez-la en utilisant bs58, convertissez le résultat en tableau d'octets, puis en chaîne UTF-8.
L'adresse réelle décodée est :
Du code malveillant crée ensuite un client HTTP, convertit les informations de la clé privée en une chaîne Base58, construit le corps de la requête JSON et envoie les données de la clé privée et autres à cette URL via une requête POST, tout en ignorant les résultats de la réponse.
De plus, la méthode create_coingecko_proxy() inclut des fonctionnalités normales telles que l'obtention des prix, afin de dissimuler ses comportements malveillants. Cette méthode est appelée au démarrage de l'application, pendant la phase d'initialisation du fichier de configuration de la méthode main() dans main.rs.
Selon l'analyse, l'adresse IP du serveur de l'attaquant est située aux États-Unis.
Le projet a récemment été mis à jour sur GitHub le 17 juillet 2025, principalement les modifications se concentrent dans le fichier de configuration config.rs sous le répertoire src. L'adresse d'origine de HELIUS_PROXY a été remplacée par un nouveau codage.
( Analyse dynamique
Pour observer de manière intuitive le processus de vol de code malveillant, nous avons écrit un script Python pour générer une paire de clés publiques et privées Solana à des fins de test, et avons mis en place un serveur HTTP capable de recevoir des requêtes POST sur le serveur.
Remplacez le code du serveur de test généré par le code de l'adresse du serveur malveillant défini par l'attaquant, et remplacez la PRIVATE_KEY dans le fichier .env par la clé privée de test.
Après le lancement du code malveillant, on peut voir que le serveur de test a réussi à recevoir les données JSON envoyées par le projet malveillant, qui contiennent des informations sur la Clé privée.
![L'écosystème Solana connaît de nouveau des Bots malveillants : le profil cache un piège d'exfiltration de Clé privée])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp###
Dans cette méthode d'attaque, les attaquants se déguisent en projets open source légitimes pour inciter les utilisateurs à télécharger et exécuter du code malveillant. Ce projet lit les informations sensibles dans le fichier .env local et transmet la clé privée volée à un serveur contrôlé par l'attaquant. Ce type d'attaque est généralement combiné avec des techniques d'ingénierie sociale, et un petit faux pas de la part de l'utilisateur peut facilement le piéger.
Il est conseillé aux développeurs de rester particulièrement vigilants face aux projets GitHub d'origine douteuse, surtout lorsqu'il s'agit d'opérations sur des portefeuilles ou des clés privées. Si vous devez exécuter ou déboguer, il est recommandé de le faire dans un environnement isolé et sans données sensibles, afin d'éviter l'exécution de programmes et de commandes malveillants d'origine inconnue.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Nouvelle génération de Bots malveillants Solana : analyse du code de vol de Clé privée cachée et mesures de prévention.
L'écosystème Solana fait face à des bots malveillants : des fichiers de configuration cachent des pièges pour voler des Clés privées
Début juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité SlowMist, demandant une analyse des raisons pour lesquelles ses actifs cryptographiques ont été volés. L'enquête a révélé que l'incident provenait de l'utilisation par cet utilisateur du projet open source zldp2002/solana-pumpfun-bot hébergé sur GitHub, ce qui a déclenché un comportement furtif de vol d'actifs.
Récemment, des utilisateurs ont de nouveau perdu des actifs cryptographiques en utilisant des projets open source similaires à audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot et ont contacté l'équipe de sécurité SlowMist. À cet égard, l'équipe a effectué une analyse approfondie.
Processus d'analyse
Analyse statique
Grâce à l'analyse statique, un code suspect a été trouvé dans le fichier de configuration /src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet(), puis appelle import_env_var() pour obtenir la Clé privée.
Dans la méthode import_env_var(), si la variable d'environnement existe, elle est renvoyée directement ; si elle n'existe pas, elle entre dans la branche Err(e) et imprime un message d'erreur. En raison d'une boucle loop{} sans condition de sortie, cela entraîne une consommation continue de ressources.
Les informations sensibles telles que la Clé privée sont stockées dans le fichier .env. Lorsqu'il obtient la Clé privée, le code malveillant vérifiera la longueur de la clé privée :
Ensuite, le code malveillant utilise Arc pour encapsuler les informations de clé privée afin de prendre en charge le partage multithread.
Ensuite, décodez l'URL malveillant. Tout d'abord, récupérez l'adresse du serveur de l'attaquant HELIUS_PROXY(, cette constante codée en dur ), décodez-la en utilisant bs58, convertissez le résultat en tableau d'octets, puis en chaîne UTF-8.
L'adresse réelle décodée est :
Du code malveillant crée ensuite un client HTTP, convertit les informations de la clé privée en une chaîne Base58, construit le corps de la requête JSON et envoie les données de la clé privée et autres à cette URL via une requête POST, tout en ignorant les résultats de la réponse.
De plus, la méthode create_coingecko_proxy() inclut des fonctionnalités normales telles que l'obtention des prix, afin de dissimuler ses comportements malveillants. Cette méthode est appelée au démarrage de l'application, pendant la phase d'initialisation du fichier de configuration de la méthode main() dans main.rs.
Selon l'analyse, l'adresse IP du serveur de l'attaquant est située aux États-Unis.
Le projet a récemment été mis à jour sur GitHub le 17 juillet 2025, principalement les modifications se concentrent dans le fichier de configuration config.rs sous le répertoire src. L'adresse d'origine de HELIUS_PROXY a été remplacée par un nouveau codage.
( Analyse dynamique
Pour observer de manière intuitive le processus de vol de code malveillant, nous avons écrit un script Python pour générer une paire de clés publiques et privées Solana à des fins de test, et avons mis en place un serveur HTTP capable de recevoir des requêtes POST sur le serveur.
Remplacez le code du serveur de test généré par le code de l'adresse du serveur malveillant défini par l'attaquant, et remplacez la PRIVATE_KEY dans le fichier .env par la clé privée de test.
Après le lancement du code malveillant, on peut voir que le serveur de test a réussi à recevoir les données JSON envoyées par le projet malveillant, qui contiennent des informations sur la Clé privée.
![L'écosystème Solana connaît de nouveau des Bots malveillants : le profil cache un piège d'exfiltration de Clé privée])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp###
Indicateurs d'intrusion ( IoCs )
IPs: 103.35.189.28
Domaines : storebackend-qpq3.onrender.com
SHA256:
Réservoir malveillant :
Méthode de mise en œuvre similaire :
Résumé
Dans cette méthode d'attaque, les attaquants se déguisent en projets open source légitimes pour inciter les utilisateurs à télécharger et exécuter du code malveillant. Ce projet lit les informations sensibles dans le fichier .env local et transmet la clé privée volée à un serveur contrôlé par l'attaquant. Ce type d'attaque est généralement combiné avec des techniques d'ingénierie sociale, et un petit faux pas de la part de l'utilisateur peut facilement le piéger.
Il est conseillé aux développeurs de rester particulièrement vigilants face aux projets GitHub d'origine douteuse, surtout lorsqu'il s'agit d'opérations sur des portefeuilles ou des clés privées. Si vous devez exécuter ou déboguer, il est recommandé de le faire dans un environnement isolé et sans données sensibles, afin d'éviter l'exécution de programmes et de commandes malveillants d'origine inconnue.