Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Hồ sơ ẩn khóa riêng rò rỉ bẫy
Gần đây, một người dùng đã bị đánh cắp tài sản tiền điện tử do sử dụng một dự án mã nguồn mở có tên là pumpfun-pumpswap-sniper-copy-trading-bot. Nhóm an ninh đã tiến hành phân tích sâu về vấn đề này.
Phân tích tĩnh
Phân tích cho thấy, mã khả nghi nằm trong tệp cấu hình /src/common/config.rs, chủ yếu tập trung vào phương thức create_coingecko_proxy(). Phương thức này trước tiên gọi import_wallet() để lấy Khóa riêng, sau đó giải mã địa chỉ URL độc hại.
Địa chỉ thực sau khi giải mã là:
Mã độc sau đó xây dựng thân yêu cầu JSON, đóng gói thông tin khóa riêng bên trong, và gửi qua yêu cầu POST đến URL đã nêu. Dù máy chủ trả về kết quả gì, mã độc vẫn tiếp tục chạy, để tránh gây sự chú ý cho người dùng.
Hàm create_coingecko_proxy() được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình của phương thức main() trong main.rs.
Dự án này đã được cập nhật trên GitHub vào ngày 17 tháng 7 năm 2025, với các thay đổi chính tập trung vào tệp cấu hình config.rs trong thư mục src. Địa chỉ máy chủ của kẻ tấn công HELIUS_PROXY đã được thay thế bằng mã hóa mới.
Phân tích động
Để quan sát trực quan quá trình đánh cắp mã độc, các nhà nghiên cứu đã viết một kịch bản Python để tạo ra cặp khóa công khai và riêng tư của Solana để thử nghiệm, và đã thiết lập một máy chủ HTTP để nhận các yêu cầu POST.
Thay thế mã hóa địa chỉ máy chủ thử nghiệm bằng mã hóa địa chỉ máy chủ độc hại mà kẻ tấn công đã thiết lập, và thay thế PRIVATE_KEY( Khóa riêng) trong tệp .env bằng khóa thử nghiệm.
Sau khi khởi động mã độc, máy chủ thử nghiệm đã nhận thành công dữ liệu JSON được gửi từ dự án độc hại, trong đó chứa thông tin PRIVATE_KEY( Khóa riêng ).
Chỉ số xâm nhập ( IoCs )
IP: 103.35.189.28
Tên miền: storebackend-qpq3.onrender.com
Kho chứa độc hại:
Các kho khác có phương pháp thực hiện tương tự cũng được liệt kê.
Tóm tắt
Kẻ tấn công đã giả mạo thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và thực thi mã độc này. Dự án sẽ đọc thông tin nhạy cảm từ tệp .env trên máy tính cục bộ và chuyển giao khóa riêng bị đánh cắp đến máy chủ do kẻ tấn công kiểm soát.
Khuyến nghị các nhà phát triển và người dùng cần giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến việc thao tác ví hoặc khóa riêng. Nếu cần phải chạy hoặc gỡ lỗi, nên thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm, tránh thực thi các chương trình và lệnh độc hại từ nguồn không rõ.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
7
Chia sẻ
Bình luận
0/400
NFTDreamer
· 18giờ trước
Lại đến để lừa đồ ngốc, bẫy quá quen thuộc.
Xem bản gốcTrả lời0
LiquidationWatcher
· 18giờ trước
Thật không ngờ rằng sol còn ẩn chứa cái bẫy như thế này.
Xem bản gốcTrả lời0
AirdropHunterWang
· 18giờ trước
Người ngu thì phải chịu đựng thôi, bẫy khóa riêng rồi thì không còn đường chạy.
Xem bản gốcTrả lời0
BlockTalk
· 18giờ trước
又有人 bị solana chơi đùa với mọi người...
Xem bản gốcTrả lời0
EthMaximalist
· 18giờ trước
Tsk tsk, chuỗi sol thường bị đánh cắp nhỉ.
Xem bản gốcTrả lời0
GovernancePretender
· 18giờ trước
Nhắc nhở hàng ngày lại một cái bẫy, chú ý an toàn nhé bán lẻ.
Hệ sinh thái Solana tái hiện robot độc hại Mã nguồn mở dự án ẩn chứa Khóa riêng cạm bẫy đánh cắp
Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Hồ sơ ẩn khóa riêng rò rỉ bẫy
Gần đây, một người dùng đã bị đánh cắp tài sản tiền điện tử do sử dụng một dự án mã nguồn mở có tên là pumpfun-pumpswap-sniper-copy-trading-bot. Nhóm an ninh đã tiến hành phân tích sâu về vấn đề này.
Phân tích tĩnh
Phân tích cho thấy, mã khả nghi nằm trong tệp cấu hình /src/common/config.rs, chủ yếu tập trung vào phương thức create_coingecko_proxy(). Phương thức này trước tiên gọi import_wallet() để lấy Khóa riêng, sau đó giải mã địa chỉ URL độc hại.
Địa chỉ thực sau khi giải mã là:
Mã độc sau đó xây dựng thân yêu cầu JSON, đóng gói thông tin khóa riêng bên trong, và gửi qua yêu cầu POST đến URL đã nêu. Dù máy chủ trả về kết quả gì, mã độc vẫn tiếp tục chạy, để tránh gây sự chú ý cho người dùng.
Hàm create_coingecko_proxy() được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình của phương thức main() trong main.rs.
Dự án này đã được cập nhật trên GitHub vào ngày 17 tháng 7 năm 2025, với các thay đổi chính tập trung vào tệp cấu hình config.rs trong thư mục src. Địa chỉ máy chủ của kẻ tấn công HELIUS_PROXY đã được thay thế bằng mã hóa mới.
Phân tích động
Để quan sát trực quan quá trình đánh cắp mã độc, các nhà nghiên cứu đã viết một kịch bản Python để tạo ra cặp khóa công khai và riêng tư của Solana để thử nghiệm, và đã thiết lập một máy chủ HTTP để nhận các yêu cầu POST.
Thay thế mã hóa địa chỉ máy chủ thử nghiệm bằng mã hóa địa chỉ máy chủ độc hại mà kẻ tấn công đã thiết lập, và thay thế PRIVATE_KEY( Khóa riêng) trong tệp .env bằng khóa thử nghiệm.
Sau khi khởi động mã độc, máy chủ thử nghiệm đã nhận thành công dữ liệu JSON được gửi từ dự án độc hại, trong đó chứa thông tin PRIVATE_KEY( Khóa riêng ).
Chỉ số xâm nhập ( IoCs )
IP: 103.35.189.28 Tên miền: storebackend-qpq3.onrender.com
Kho chứa độc hại:
Các kho khác có phương pháp thực hiện tương tự cũng được liệt kê.
Tóm tắt
Kẻ tấn công đã giả mạo thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và thực thi mã độc này. Dự án sẽ đọc thông tin nhạy cảm từ tệp .env trên máy tính cục bộ và chuyển giao khóa riêng bị đánh cắp đến máy chủ do kẻ tấn công kiểm soát.
Khuyến nghị các nhà phát triển và người dùng cần giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến việc thao tác ví hoặc khóa riêng. Nếu cần phải chạy hoặc gỡ lỗi, nên thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm, tránh thực thi các chương trình và lệnh độc hại từ nguồn không rõ.