Pada awal Juli 2025, seorang pengguna meminta bantuan tim keamanan SlowMist, meminta analisis mengenai penyebab pencurian aset kriptonya. Penyelidikan menemukan bahwa kejadian tersebut disebabkan oleh penggunaan proyek sumber terbuka zldp2002/solana-pumpfun-bot yang dihosting di GitHub, yang memicu perilaku pencurian aset yang tersembunyi.
Baru-baru ini, ada pengguna yang kehilangan aset kripto karena menggunakan proyek sumber terbuka serupa audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot, dan menghubungi tim keamanan Slow Fog. Mengenai hal ini, tim melakukan analisis mendalam.
Proses Analisis
Analisis Statik
Melalui analisis statis, ditemukan kode mencurigakan berada di file konfigurasi /src/common/config.rs, yang terutama terfokus pada metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet(), kemudian memanggil import_env_var() untuk mendapatkan Kunci Pribadi.
Dalam metode import_env_var(), jika variabel lingkungan ada, maka akan langsung mengembalikan; jika tidak ada, maka akan masuk ke cabang Err(e) dan mencetak pesan kesalahan. Karena ada loop{} yang tidak memiliki kondisi keluar, ini akan menyebabkan konsumsi sumber daya yang terus menerus.
Kunci Pribadi dan informasi sensitif lainnya disimpan dalam file .env. Setelah mendapatkan Kunci Pribadi, kode jahat akan memeriksa panjang kunci pribadi:
Jika kurang dari 85, cetak pesan kesalahan dan terus mengkonsumsi sumber daya;
Jika lebih dari 85, konversi string Base58 tersebut menjadi objek Keypair, yang berisi informasi kunci pribadi.
Kemudian, kode jahat membungkus informasi kunci pribadi menggunakan Arc untuk mendukung berbagi multithreading.
Kemudian dekode alamat URL jahat. Pertama, ambil alamat server penyerang HELIUS_PROXY( yang telah dikodekan, gunakan bs58 untuk mendekode, konversi hasilnya menjadi array byte, lalu ubah menjadi string UTF-8.
Alamat asli yang terdekripsi adalah:
![Solana ekosistem kembali muncul Bot jahat: file konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
Kode jahat kemudian membuat klien HTTP, mengubah informasi kunci pribadi menjadi string Base58, membangun tubuh permintaan JSON, mengirimkan data kunci pribadi dan lainnya ke URL tersebut melalui permintaan POST, sambil mengabaikan hasil respons.
Selain itu, metode create_coingecko_proxy)( juga mencakup fungsi normal seperti mendapatkan harga, untuk menyembunyikan perilaku jahatnya. Metode ini dipanggil saat aplikasi diluncurkan, berada di tahap inisialisasi file konfigurasi metode main)( yang ada di main.rs.
Menurut analisis, alamat IP server penyerang terletak di Amerika Serikat.
Proyek ini baru-baru ini diperbarui pada 17 Juli 2025 di GitHub, dengan perubahan utama yang terfokus pada file konfigurasi config.rs di bawah direktori src. Alamat asli encoding HELIUS_PROXY telah diganti dengan encoding baru.
![Ekosistem Solana kembali mengalami serangan Bot: Profil menyimpan jebakan untuk mengungkap Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
) Analisis Dinamis
Untuk mengamati secara intuitif proses pencurian kode jahat, kami menulis skrip Python untuk menghasilkan pasangan kunci publik dan pribadi Solana untuk pengujian, dan membangun server HTTP yang dapat menerima permintaan POST di server.
Gantilah kode server pengujian yang dihasilkan dengan kode alamat server jahat yang ditetapkan oleh penyerang, dan ganti PRIVATE_KEY dalam file .env dengan kunci pribadi pengujian.
Setelah mengaktifkan kode jahat, dapat dilihat bahwa server pengujian berhasil menerima data JSON yang dikirim oleh proyek jahat, yang mencakup informasi Kunci Pribadi.
Dalam metode serangan ini, penyerang menyamar sebagai proyek sumber terbuka yang sah, menggoda pengguna untuk mengunduh dan menjalankan kode berbahaya. Proyek ini akan membaca informasi sensitif dari file .env lokal dan mengirimkan kunci pribadi yang dicuri ke server yang dikendalikan oleh penyerang. Jenis serangan ini biasanya menggabungkan teknik rekayasa sosial, dan pengguna yang sedikit lalai dapat dengan mudah terjebak.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas asal-usulnya, terutama ketika melibatkan dompet atau Kunci Pribadi. Jika memang perlu menjalankan atau melakukan debugging, disarankan untuk melakukannya di lingkungan terpisah yang tidak mengandung data sensitif, untuk menghindari menjalankan program dan perintah jahat yang tidak diketahui sumbernya.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Analisis dan Pencegahan Kode Pencurian Kunci Pribadi oleh Bot Jahat Baru Solana
Ekosistem Solana Menunjukkan Bot Jahat: Konfigurasi Tersembunyi Menjebak Pencurian Kunci Pribadi
Pada awal Juli 2025, seorang pengguna meminta bantuan tim keamanan SlowMist, meminta analisis mengenai penyebab pencurian aset kriptonya. Penyelidikan menemukan bahwa kejadian tersebut disebabkan oleh penggunaan proyek sumber terbuka zldp2002/solana-pumpfun-bot yang dihosting di GitHub, yang memicu perilaku pencurian aset yang tersembunyi.
Baru-baru ini, ada pengguna yang kehilangan aset kripto karena menggunakan proyek sumber terbuka serupa audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot, dan menghubungi tim keamanan Slow Fog. Mengenai hal ini, tim melakukan analisis mendalam.
Proses Analisis
Analisis Statik
Melalui analisis statis, ditemukan kode mencurigakan berada di file konfigurasi /src/common/config.rs, yang terutama terfokus pada metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet(), kemudian memanggil import_env_var() untuk mendapatkan Kunci Pribadi.
Dalam metode import_env_var(), jika variabel lingkungan ada, maka akan langsung mengembalikan; jika tidak ada, maka akan masuk ke cabang Err(e) dan mencetak pesan kesalahan. Karena ada loop{} yang tidak memiliki kondisi keluar, ini akan menyebabkan konsumsi sumber daya yang terus menerus.
Kunci Pribadi dan informasi sensitif lainnya disimpan dalam file .env. Setelah mendapatkan Kunci Pribadi, kode jahat akan memeriksa panjang kunci pribadi:
Kemudian, kode jahat membungkus informasi kunci pribadi menggunakan Arc untuk mendukung berbagi multithreading.
Kemudian dekode alamat URL jahat. Pertama, ambil alamat server penyerang HELIUS_PROXY( yang telah dikodekan, gunakan bs58 untuk mendekode, konversi hasilnya menjadi array byte, lalu ubah menjadi string UTF-8.
Alamat asli yang terdekripsi adalah:
![Solana ekosistem kembali muncul Bot jahat: file konfigurasi menyimpan jebakan pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
Kode jahat kemudian membuat klien HTTP, mengubah informasi kunci pribadi menjadi string Base58, membangun tubuh permintaan JSON, mengirimkan data kunci pribadi dan lainnya ke URL tersebut melalui permintaan POST, sambil mengabaikan hasil respons.
Selain itu, metode create_coingecko_proxy)( juga mencakup fungsi normal seperti mendapatkan harga, untuk menyembunyikan perilaku jahatnya. Metode ini dipanggil saat aplikasi diluncurkan, berada di tahap inisialisasi file konfigurasi metode main)( yang ada di main.rs.
Menurut analisis, alamat IP server penyerang terletak di Amerika Serikat.
Proyek ini baru-baru ini diperbarui pada 17 Juli 2025 di GitHub, dengan perubahan utama yang terfokus pada file konfigurasi config.rs di bawah direktori src. Alamat asli encoding HELIUS_PROXY telah diganti dengan encoding baru.
![Ekosistem Solana kembali mengalami serangan Bot: Profil menyimpan jebakan untuk mengungkap Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
) Analisis Dinamis
Untuk mengamati secara intuitif proses pencurian kode jahat, kami menulis skrip Python untuk menghasilkan pasangan kunci publik dan pribadi Solana untuk pengujian, dan membangun server HTTP yang dapat menerima permintaan POST di server.
Gantilah kode server pengujian yang dihasilkan dengan kode alamat server jahat yang ditetapkan oleh penyerang, dan ganti PRIVATE_KEY dalam file .env dengan kunci pribadi pengujian.
Setelah mengaktifkan kode jahat, dapat dilihat bahwa server pengujian berhasil menerima data JSON yang dikirim oleh proyek jahat, yang mencakup informasi Kunci Pribadi.
Indikator Infiltrasi ### IoCs (
IPs: 103.35.189.28
Domain: storebackend-qpq3.onrender.com
SHA256:
Repositori Berbahaya:
Metode implementasi serupa:
Ringkasan
Dalam metode serangan ini, penyerang menyamar sebagai proyek sumber terbuka yang sah, menggoda pengguna untuk mengunduh dan menjalankan kode berbahaya. Proyek ini akan membaca informasi sensitif dari file .env lokal dan mengirimkan kunci pribadi yang dicuri ke server yang dikendalikan oleh penyerang. Jenis serangan ini biasanya menggabungkan teknik rekayasa sosial, dan pengguna yang sedikit lalai dapat dengan mudah terjebak.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas asal-usulnya, terutama ketika melibatkan dompet atau Kunci Pribadi. Jika memang perlu menjalankan atau melakukan debugging, disarankan untuk melakukannya di lingkungan terpisah yang tidak mengandung data sensitif, untuk menghindari menjalankan program dan perintah jahat yang tidak diketahui sumbernya.
![Solana生态再现恶意机器人:配置文件暗藏Kunci Pribadi外传陷阱])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(