Solana用戶遭遇資產被盜事件分析

2025年7月2日，一名用戶向安全團隊求助，稱其在使用GitHub上的一個開源項目後，加密資產遭到盜竊。經調查發現，這是一起利用惡意NPM包竊取私鑰的攻擊事件。

事件背景

受害者使用了名爲"solana-pumpfun-bot"的GitHub項目，隨後發現資產被盜。該項目雖然星標和分支數量較高，但代碼提交時間異常集中，缺乏持續更新。

攻擊手法分析

1. 項目引用了可疑的第三方包"crypto-layout-utils"，該包已被NPM官方下架。

2. 攻擊者在package-lock.json中替換了依賴包的下載連結，指向一個GitHub倉庫。

3. 惡意包經過高度混淆，實現了掃描用戶電腦文件的功能，一旦發現錢包或私鑰相關內容就上傳到攻擊者控制的服務器。

4. 攻擊者可能控制多個GitHub帳號，用於分發惡意程序並提高項目可信度。

5. 部分Fork項目使用了另一個惡意包"bs58-encrypt-utils-1.0.3"。

資金流向

鏈上分析顯示，攻擊者將盜取的資金轉移至某交易平台。

防範建議

1. 對來源不明的GitHub項目保持高度警惕，尤其是涉及錢包或私鑰操作的項目。

2. 在獨立且無敏感數據的環境中運行和調試未知項目。

3. 開發者應仔細審查項目依賴，特別注意可疑的第三方包。

4. 定期檢查和更新項目依賴，及時移除存在風險的組件。

5. 使用可信的安全工具和服務，如鏈上資產追蹤工具，以便及時發現異常。

此類攻擊結合了社會工程和技術手段，難以完全防御。用戶和開發者都應提高安全意識，採取多重防護措施，以降低被攻擊的風險。