Solana yeni nesil kötü niyetli botlar: gizli anahtar çalma kodu analizi ve önleme

Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyası gizli Özel Anahtar hırsızlığı tuzağı

2025 yılının Temmuz ayının başında, bir kullanıcı Slow Mist güvenlik ekibinden yardım istedi ve kripto varlıklarının çalınma sebebinin analiz edilmesini talep etti. Araştırmalar, olayın kullanıcının GitHub'da barındırılan açık kaynak projesi zldp2002/solana-pumpfun-bot'u kullanmasından kaynaklandığını, gizli varlık hırsızlığı faaliyetlerini tetiklediğini ortaya çıkardı.

Son zamanlarda, benzer bir açık kaynak projesi olan audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot'u kullanan kullanıcıların kripto varlıklarının çalınması nedeniyle, yavaş sis güvenlik ekibi ile iletişime geçildi. Bu konuda ekip derinlemesine bir analiz yaptı.

Analiz Süreci

Statik Analiz

Statik analiz yoluyla, şüpheli kodun /src/common/config.rs yapılandırma dosyasında bulunduğu ve esas olarak create_coingecko_proxy() yönteminde yoğunlaştığı tespit edilmiştir. Bu yöntem önce import_wallet()'i çağırır, ardından Özel Anahtar'ı almak için import_env_var()'i çağırır.

Solana ekosisteminde kötü niyetli Botlar: Profil ayarlarında Özel Anahtar sızdırma tuzağı

import_env_var() yönteminde, eğer çevresel değişken mevcutsa doğrudan döndürülür; yoksa, Err(e) dalına girilir ve hata mesajı yazdırılır. Çıkış koşulu olmayan loop{} döngüsü nedeniyle, kaynakların sürekli tüketilmesine neden olur.

Solana ekosisteminde kötü niyetli Botlar: Profil ayarları Özel Anahtar dışa aktarma tuzağı içeriyor

ÖZEL ANAHTAR gibi hassas bilgiler .env dosyasında saklanır. ÖZEL ANAHTAR alındığında, kötü niyetli kod anahtarın uzunluğunu kontrol eder:

  • 85'ten küçükse, hata mesajı yazdır ve kaynak tüketmeye devam et;
  • 85'ten büyükse, bu Base58 dizesini Özel Anahtar bilgilerini içeren Keypair nesnesine dönüştür.

Sonrasında, kötü niyetli kod, çoklu iş parçacığı paylaşımını desteklemek için özel anahtar bilgilerini Arc ile paketler.

Solana ekosisteminde kötü niyetli Botlar: Yapılandırma dosyasında Özel Anahtar dışa aktarma tuzağı

Kötü niyetli URL adresini çözmeye devam edin. Öncelikle kodlanmış HELIUS_PROXY( saldırgan sunucu adresi) bu sabit değeri alın, bs58 ile çözün, sonucu byte dizisine dönüştürün ve ardından UTF-8 dizisine çevirin.

Çözülmüş gerçek adres:

Solana ekosisteminde kötü niyetli botlar yeniden ortaya çıktı: Konfigürasyon dosyasında özel anahtar sızdırma tuzağı

Kötü niyetli kod daha sonra bir HTTP istemcisi oluşturur, özel anahtar bilgilerini Base58 dizesine dönüştürür, JSON istek gövdesini oluşturur, POST isteği ile özel anahtar ve diğer verileri bu URL'ye gönderir ve yanıt sonucunu göz ardı eder.

Ayrıca, create_coingecko_proxy() yöntemi fiyat alma gibi normal işlevleri de içerir, bu da kötü niyetli davranışlarını gizlemek için kullanılır. Bu yöntem uygulama başlatıldığında çağrılır ve main.rs içindeki main() yönteminin yapılandırma dosyası başlatma aşamasında yer alır.

Analizlere göre, saldırganın sunucusunun IP adresi Amerika'da bulunmaktadır.

Proje, yakın zamanda (2025 yılı 7 Temmuz'da ) GitHub'da güncellendi, ana değişiklikler src dizinindeki yapılandırma dosyası config.rs üzerinde yoğunlaşmıştır. HELIUS_PROXY'nin eski adres kodlaması yeni kodlama ile değiştirilmiştir.

Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyasında Özel Anahtar sızdırma tuzağı

Dinamik Analiz

Kötü niyetli kodun çalma sürecini gözlemlemek için, test amaçlı Solana açık-özel anahtar çiftleri oluşturmak üzere bir Python betiği yazdık ve sunucuda POST isteklerini kabul eden bir HTTP sunucusu kurduk.

Oluşturulan test sunucusu kodunu, orijinal saldırganın ayarladığı kötü niyetli sunucu adresi kodu ile değiştirin ve .env dosyasındaki ÖZEL ANAHTAR'ı test Özel Anahtar ile değiştirin.

Kötü amaçlı kod başlatıldıktan sonra, test sunucusunun kötü amaçlı projenin gönderdiği JSON verilerini başarıyla aldığını görebiliriz; bu veriler arasında Özel Anahtar bilgisi de bulunmaktadır.

Solana ekosisteminde kötü niyetli Botlar: Konfigürasyon dosyasında Özel Anahtar dışarı sızdırma tuzağı

İstila Göstergeleri ( IoCs )

IP'ler: 103.35.189.28

Alan Adları: storebackend-qpq3.onrender.com

SHA256:

  • 07f0364171627729788797bb37e0170a06a787a479666abf8c80736722bb79e8 - pumpfun-pumpswap-sniper-kopya-ticaret-bot-master.zip
  • ace4b1fc4290d6ffd7da0fa943625b3a852190f0aa8d44b93623423299809e48 - pumpfun-pumpswap-sniper-copy-trading-bot-master/src/common/config.rs

Kötü Niyetli Depo:

Benzer uygulama yöntemleri:

Özet

Bu saldırı yönteminde, saldırganlar meşru açık kaynak projeleri gibi davranarak kullanıcıları kötü niyetli kodu indirmeye ve çalıştırmaya teşvik ediyor. Bu proje, yerel .env dosyasındaki hassas bilgileri okuyacak ve çalınan Özel Anahtar'ı saldırganın kontrolündeki sunucuya iletecektir. Bu tür saldırılar genellikle sosyal mühendislik teknikleriyle birleştirilir, kullanıcılar en ufak bir dikkatsizlik gösterdiklerinde mağdur olabilirler.

Geliştiricilerin ve kullanıcıların bilinmeyen kaynaklardan gelen GitHub projelerine karşı dikkatli olmalarını özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda şiddetle tavsiye ederiz. Eğer çalıştırmanız veya hata ayıklamanız gerekiyorsa, bunu bağımsız ve hassas veri içermeyen bir ortamda yapmanız önerilir, bilinmeyen kaynaklardan gelen kötü niyetli programları ve komutları çalıştırmaktan kaçının.

Solana ekosisteminde kötü niyetli Botlar: Profil dosyası Özel Anahtar dışa verme tuzağı içeriyor

SOL3.76%
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Reward
  • Comment
  • Share
Comment
0/400
No comments
Trade Crypto Anywhere Anytime
qrCode
Scan to download Gate app
Community
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)