O ecossistema Solana apresenta novamente Bots maliciosos: armadilhas de roubo de Chave privada ocultas no perfil
No início de julho de 2025, um usuário pediu ajuda à equipe de segurança Slow Mist, solicitando a análise da razão pela qual seus ativos criptográficos foram roubados. A investigação revelou que o incidente se originou do uso pelo usuário do projeto de código aberto zldp2002/solana-pumpfun-bot, hospedado no GitHub, que acionou um comportamento oculto de roubo de ativos.
Recentemente, mais um usuário teve seus ativos criptográficos roubados ao usar projetos de código aberto semelhantes ao audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot e entrou em contato com a equipe de segurança Slow Fog. Em resposta, a equipe realizou uma análise aprofundada.
Processo de Análise
Análise estática
Através da análise estática, foi descoberto que o código suspeito está localizado no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método primeiro chama import_wallet(), que por sua vez chama import_env_var() para obter a Chave privada.
Na função import_env_var(), se a variável de ambiente existir, retorna-se diretamente; se não existir, entra-se no ramo Err(e), imprimindo a mensagem de erro. Devido à existência de um loop{} sem condição de saída, isso levará a um consumo contínuo de recursos.
Se for menor que 85, imprima a mensagem de erro e continue a consumir recursos;
Se for maior que 85, converta a string Base58 em um objeto Keypair, incluindo informações da Chave privada.
Em seguida, o código malicioso encapsula as informações da chave privada usando Arc, para suportar o compartilhamento multithread.
Em seguida, decodifique o URL malicioso. Primeiro, obtenha o endereço do servidor do atacante HELIUS_PROXY( que está codificado, use bs58 para decodificar, converta o resultado em um array de bytes e, em seguida, transforme-o em uma string UTF-8.
O endereço real decodificado é:
![Solana ecossistema revive Bots maliciosos: o perfil esconde armadilha de Chave privada])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
Código malicioso cria um cliente HTTP, converte as informações da chave privada em uma string Base58, constrói o corpo da solicitação JSON e envia os dados da chave privada e outros para essa URL através de uma solicitação POST, ignorando ao mesmo tempo o resultado da resposta.
Além disso, o método create_coingecko_proxy)( também inclui funcionalidades normais, como obter preços, para encobrir seu comportamento malicioso. Este método é chamado na inicialização do aplicativo, localizado na fase de inicialização do arquivo de configuração do método main)( em main.rs.
Segundo a análise, o endereço IP do servidor do atacante está localizado nos Estados Unidos.
O projeto foi recentemente atualizado em 17 de julho de 2025 no GitHub, com as principais alterações concentradas no arquivo de configuração config.rs no diretório src. O endereço original codificado do Helius Proxy foi substituído por uma nova codificação.
![Solana ecossistema reaparece Bots maliciosos: o perfil oculta uma armadilha de vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
) Análise dinâmica
Para observar de forma intuitiva o processo de roubo de código malicioso, escrevemos um script em Python para gerar um par de chaves pública e privada Solana para testes e configuramos um servidor HTTP que pode receber requisições POST.
Substitua o código do servidor de teste gerado pelo código do endereço do servidor malicioso definido pelo atacante e substitua a PRIVATE_KEY no arquivo .env pela chave privada de teste.
Após a ativação do código malicioso, é possível ver que o servidor de teste recebeu com sucesso os dados JSON enviados pelo projeto malicioso, que incluem informações da Chave privada.
Nesta técnica de ataque, os atacantes disfarçam-se como um projeto de código aberto legítimo, induzindo os usuários a baixar e executar código malicioso. O projeto lê informações sensíveis do arquivo .env local e transfere a chave privada roubada para um servidor controlado pelos atacantes. Este tipo de ataque geralmente combina técnicas de engenharia social, onde um pequeno descuido do usuário pode resultar em comprometimento.
É aconselhável que os desenvolvedores mantenham uma elevada vigilância sobre projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou chaves privadas. Caso seja necessário executar ou depurar, recomenda-se fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos maliciosos de origem desconhecida.
![Solana ecossistema apresenta novamente Bots maliciosos: arquivo de configuração oculta a armadilha de vazamento da Chave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Análise e prevenção do código de roubo de chave privada escondido de novos bots maliciosos da Solana
O ecossistema Solana apresenta novamente Bots maliciosos: armadilhas de roubo de Chave privada ocultas no perfil
No início de julho de 2025, um usuário pediu ajuda à equipe de segurança Slow Mist, solicitando a análise da razão pela qual seus ativos criptográficos foram roubados. A investigação revelou que o incidente se originou do uso pelo usuário do projeto de código aberto zldp2002/solana-pumpfun-bot, hospedado no GitHub, que acionou um comportamento oculto de roubo de ativos.
Recentemente, mais um usuário teve seus ativos criptográficos roubados ao usar projetos de código aberto semelhantes ao audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot e entrou em contato com a equipe de segurança Slow Fog. Em resposta, a equipe realizou uma análise aprofundada.
Processo de Análise
Análise estática
Através da análise estática, foi descoberto que o código suspeito está localizado no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método primeiro chama import_wallet(), que por sua vez chama import_env_var() para obter a Chave privada.
Na função import_env_var(), se a variável de ambiente existir, retorna-se diretamente; se não existir, entra-se no ramo Err(e), imprimindo a mensagem de erro. Devido à existência de um loop{} sem condição de saída, isso levará a um consumo contínuo de recursos.
Chave privada等敏感信息存储在.env文件中。当获取到Chave privada后,恶意代码会对私钥长度进行判断:
Em seguida, o código malicioso encapsula as informações da chave privada usando Arc, para suportar o compartilhamento multithread.
Em seguida, decodifique o URL malicioso. Primeiro, obtenha o endereço do servidor do atacante HELIUS_PROXY( que está codificado, use bs58 para decodificar, converta o resultado em um array de bytes e, em seguida, transforme-o em uma string UTF-8.
O endereço real decodificado é:
![Solana ecossistema revive Bots maliciosos: o perfil esconde armadilha de Chave privada])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
Código malicioso cria um cliente HTTP, converte as informações da chave privada em uma string Base58, constrói o corpo da solicitação JSON e envia os dados da chave privada e outros para essa URL através de uma solicitação POST, ignorando ao mesmo tempo o resultado da resposta.
Além disso, o método create_coingecko_proxy)( também inclui funcionalidades normais, como obter preços, para encobrir seu comportamento malicioso. Este método é chamado na inicialização do aplicativo, localizado na fase de inicialização do arquivo de configuração do método main)( em main.rs.
Segundo a análise, o endereço IP do servidor do atacante está localizado nos Estados Unidos.
O projeto foi recentemente atualizado em 17 de julho de 2025 no GitHub, com as principais alterações concentradas no arquivo de configuração config.rs no diretório src. O endereço original codificado do Helius Proxy foi substituído por uma nova codificação.
![Solana ecossistema reaparece Bots maliciosos: o perfil oculta uma armadilha de vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
) Análise dinâmica
Para observar de forma intuitiva o processo de roubo de código malicioso, escrevemos um script em Python para gerar um par de chaves pública e privada Solana para testes e configuramos um servidor HTTP que pode receber requisições POST.
Substitua o código do servidor de teste gerado pelo código do endereço do servidor malicioso definido pelo atacante e substitua a PRIVATE_KEY no arquivo .env pela chave privada de teste.
Após a ativação do código malicioso, é possível ver que o servidor de teste recebeu com sucesso os dados JSON enviados pelo projeto malicioso, que incluem informações da Chave privada.
Indicadores de invasão###IoCs(
IPs: 103.35.189.28
Domínios: storebackend-qpq3.onrender.com
SHA256:
Armazém malicioso:
Método de implementação semelhante:
Resumo
Nesta técnica de ataque, os atacantes disfarçam-se como um projeto de código aberto legítimo, induzindo os usuários a baixar e executar código malicioso. O projeto lê informações sensíveis do arquivo .env local e transfere a chave privada roubada para um servidor controlado pelos atacantes. Este tipo de ataque geralmente combina técnicas de engenharia social, onde um pequeno descuido do usuário pode resultar em comprometimento.
É aconselhável que os desenvolvedores mantenham uma elevada vigilância sobre projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou chaves privadas. Caso seja necessário executar ou depurar, recomenda-se fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos maliciosos de origem desconhecida.
![Solana ecossistema apresenta novamente Bots maliciosos: arquivo de configuração oculta a armadilha de vazamento da Chave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(