O ecossistema Solana novamente enfrenta Bots maliciosos: perfil oculto e armadilha de vazamento de chave privada
Recentemente, um usuário teve seus ativos criptográficos roubados devido ao uso de um projeto de código aberto chamado pumpfun-pumpswap-sniper-copy-trading-bot. A equipe de segurança realizou uma análise aprofundada sobre isso.
Análise estática
A análise revelou que o código suspeito está localizado no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método chama primeiro import_wallet() para obter a Chave privada, e depois decodifica o endereço URL malicioso.
O endereço real após a decodificação é:
O código malicioso, em seguida, constrói o corpo da solicitação JSON, encapsulando as informações da chave privada, e envia através de uma solicitação POST para a URL acima mencionada. Independentemente do resultado retornado pelo servidor, o código malicioso continuará a ser executado para evitar chamar a atenção do usuário.
create_coingecko_proxy() método é chamado na inicialização do aplicativo, localizado na fase de inicialização do arquivo de configuração do método main.rs main().
O projeto foi atualizado recentemente no GitHub em 17 de julho de 2025, com as principais alterações concentradas no arquivo de configuração config.rs no diretório src. O endereço original do servidor atacante HELIUS_PROXY( foi substituído por uma nova codificação.
![Solana ecossistema vê o ressurgimento de Bots maliciosos: perfil contém armadilha de vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![A ecologia Solana novamente apresenta Bots maliciosos: o perfil contém armadilhas para a divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana ecossistema apresenta novamente Bots maliciosos: arquivo de configuração esconde armadilha de vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Bots maliciosos reaparecem no ecossistema Solana: perfil de configuração esconde armadilha de vazamento de chave privada])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana ecossistema apresenta Bots maliciosos: perfil de configuração esconde armadilha de transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana ecossistema apresenta bots maliciosos: o perfil oculta a armadilha de vazamento da chave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana eco apresenta Bots maliciosos: o perfil oculta armadilhas para o vazamento da Chave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ecossistema apresenta novamente Bots maliciosos: arquivo de configuração esconde armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Análise dinâmica
Para observar de forma intuitiva o processo de roubo de código malicioso, os investigadores escreveram um script em Python para gerar pares de chaves públicas e privadas de Solana para teste e montaram um servidor HTTP para receber solicitações POST.
Substitua a codificação do endereço do servidor de teste pela codificação do endereço do servidor malicioso definido pelo atacante, e substitua a CHAVE PRIVADA) no arquivo .env pela chave privada de teste.
Após a ativação do código malicioso, o servidor de testes recebeu com sucesso os dados JSON enviados pelo projeto malicioso, que continham a Chave privada( informações.
![Reaparecimento de Bots maliciosos no ecossistema Solana: perfil oculto com armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana ecossistema novamente apresenta Bots maliciosos: arquivo de configuração oculta a armadilha de transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana ecossistema apresenta Bots maliciosos: o arquivo de configuração esconde a armadilha de vazamento da Chave privada])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana ecossistema novamente apresenta Bots maliciosos: o perfil contém armadilhas para a Chave privada])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![A ecologia Solana apresenta novamente Bots maliciosos: o perfil configurado esconde armadilhas de transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana ecossistema novamente apresenta Bots maliciosos: arquivo de configuração esconde armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Reaparecimento de Bots maliciosos no ecossistema Solana: arquivo de configuração oculta a armadilha de vazamento da Chave privada])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Ecossistema Solana apresenta Bots maliciosos: arquivo de configuração esconde armadilha de divulgação de Chave privada])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
Outros repositórios com métodos de implementação semelhantes também estão listados.
![Ecossistema Solana apresenta bots maliciosos: perfil de configuração oculta armadilha de chave privada])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Reaparecimento de Bots maliciosos no ecossistema Solana: perfil de configuração esconde armadilha de vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
Resumo
Os atacantes disfarçam-se como projetos de código aberto legítimos, induzindo os usuários a baixar e executar esse código malicioso. O projeto lê informações sensíveis do arquivo .env local e transfere a chave privada roubada para um servidor controlado pelo atacante.
Recomenda-se que os desenvolvedores e usuários mantenham uma alta vigilância em relação a projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se for realmente necessário executar ou depurar, recomenda-se fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos maliciosos de origem desconhecida.
![A ecologia Solana novamente apresenta Bots maliciosos: o perfil contém uma armadilha para a divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
9 gostos
Recompensa
9
7
Partilhar
Comentar
0/400
NFTDreamer
· 18h atrás
De novo a enganar idiotas, a armadilha já é muito familiar.
Ver originalResponder0
LiquidationWatcher
· 18h atrás
Nunca pensei que o sol escondesse este tipo de armadilha.
Ver originalResponder0
AirdropHunterWang
· 18h atrás
Quem é tolo acaba caindo em armadilhas. Se usar a chave privada, não há como escapar.
Ver originalResponder0
BlockTalk
· 18h atrás
Outra vez alguém foi enganado por idiotas pelo solana...
Ver originalResponder0
EthMaximalist
· 18h atrás
Tsk tsk, a cadeia sol está frequentemente sendo hackeada.
Ver originalResponder0
GovernancePretender
· 18h atrás
Lembrete diário, mais uma armadilha. Cuidado, investidores de retalho!
Ver originalResponder0
BearMarketSurvivor
· 18h atrás
Eu quero ver quem ainda se atreve a tocar neste bot.
O ecossistema Solana apresenta novamente Bots maliciosos, com projetos de Código aberto escondendo armadilhas para roubar Chaves privadas.
O ecossistema Solana novamente enfrenta Bots maliciosos: perfil oculto e armadilha de vazamento de chave privada
Recentemente, um usuário teve seus ativos criptográficos roubados devido ao uso de um projeto de código aberto chamado pumpfun-pumpswap-sniper-copy-trading-bot. A equipe de segurança realizou uma análise aprofundada sobre isso.
Análise estática
A análise revelou que o código suspeito está localizado no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método chama primeiro import_wallet() para obter a Chave privada, e depois decodifica o endereço URL malicioso.
O endereço real após a decodificação é:
O código malicioso, em seguida, constrói o corpo da solicitação JSON, encapsulando as informações da chave privada, e envia através de uma solicitação POST para a URL acima mencionada. Independentemente do resultado retornado pelo servidor, o código malicioso continuará a ser executado para evitar chamar a atenção do usuário.
create_coingecko_proxy() método é chamado na inicialização do aplicativo, localizado na fase de inicialização do arquivo de configuração do método main.rs main().
O projeto foi atualizado recentemente no GitHub em 17 de julho de 2025, com as principais alterações concentradas no arquivo de configuração config.rs no diretório src. O endereço original do servidor atacante HELIUS_PROXY( foi substituído por uma nova codificação.
![Solana ecossistema vê o ressurgimento de Bots maliciosos: perfil contém armadilha de vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![A ecologia Solana novamente apresenta Bots maliciosos: o perfil contém armadilhas para a divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Solana ecossistema apresenta novamente Bots maliciosos: arquivo de configuração esconde armadilha de vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Bots maliciosos reaparecem no ecossistema Solana: perfil de configuração esconde armadilha de vazamento de chave privada])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana ecossistema apresenta Bots maliciosos: perfil de configuração esconde armadilha de transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana ecossistema apresenta bots maliciosos: o perfil oculta a armadilha de vazamento da chave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana eco apresenta Bots maliciosos: o perfil oculta armadilhas para o vazamento da Chave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ecossistema apresenta novamente Bots maliciosos: arquivo de configuração esconde armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Análise dinâmica
Para observar de forma intuitiva o processo de roubo de código malicioso, os investigadores escreveram um script em Python para gerar pares de chaves públicas e privadas de Solana para teste e montaram um servidor HTTP para receber solicitações POST.
Substitua a codificação do endereço do servidor de teste pela codificação do endereço do servidor malicioso definido pelo atacante, e substitua a CHAVE PRIVADA) no arquivo .env pela chave privada de teste.
Após a ativação do código malicioso, o servidor de testes recebeu com sucesso os dados JSON enviados pelo projeto malicioso, que continham a Chave privada( informações.
![Reaparecimento de Bots maliciosos no ecossistema Solana: perfil oculto com armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana生态再现恶意Bots:配置文件暗藏Chave privada外传陷阱])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana ecossistema novamente apresenta Bots maliciosos: arquivo de configuração oculta a armadilha de transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana ecossistema apresenta Bots maliciosos: o arquivo de configuração esconde a armadilha de vazamento da Chave privada])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana ecossistema novamente apresenta Bots maliciosos: o perfil contém armadilhas para a Chave privada])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![A ecologia Solana apresenta novamente Bots maliciosos: o perfil configurado esconde armadilhas de transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Solana ecossistema novamente apresenta Bots maliciosos: arquivo de configuração esconde armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Reaparecimento de Bots maliciosos no ecossistema Solana: arquivo de configuração oculta a armadilha de vazamento da Chave privada])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Ecossistema Solana apresenta Bots maliciosos: arquivo de configuração esconde armadilha de divulgação de Chave privada])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
Indicadores de invasão ) IoCs (
IP: 103.35.189.28 Domínio: storebackend-qpq3.onrender.com
Repositório malicioso:
Outros repositórios com métodos de implementação semelhantes também estão listados.
![Ecossistema Solana apresenta bots maliciosos: perfil de configuração oculta armadilha de chave privada])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Reaparecimento de Bots maliciosos no ecossistema Solana: perfil de configuração esconde armadilha de vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
Resumo
Os atacantes disfarçam-se como projetos de código aberto legítimos, induzindo os usuários a baixar e executar esse código malicioso. O projeto lê informações sensíveis do arquivo .env local e transfere a chave privada roubada para um servidor controlado pelo atacante.
Recomenda-se que os desenvolvedores e usuários mantenham uma alta vigilância em relação a projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se for realmente necessário executar ou depurar, recomenda-se fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos maliciosos de origem desconhecida.
![A ecologia Solana novamente apresenta Bots maliciosos: o perfil contém uma armadilha para a divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(