Aparece un nuevo tipo de Bots de robo de Llave privada en el ecosistema de Solana. Mantente alerta, los proyectos de Código abierto pueden ocultar secretos.
La ecología de Solana presenta nuevamente Bots maliciosos: el archivo de configuración oculta trampas para robar Llave privada
A principios de julio de 2025, un usuario solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos habían sido robados. Tras una investigación, se descubrió que el incidente se originó a partir del uso por parte de ese usuario de un proyecto de código abierto alojado en una determinada plataforma de código, lo que desencadenó un comportamiento encubierto de robo de monedas.
Recientemente, otro usuario ha perdido activos criptográficos debido al uso de proyectos de código abierto similares como audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. En respuesta, el equipo de seguridad llevó a cabo un análisis profundo.
Proceso de análisis
Análisis estático
A través de un análisis estático, se encontró que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada.
En el método import_env_var(), se utiliza principalmente para obtener la información de configuración de las variables de entorno en el archivo .env. Si la variable de entorno no existe, entrará en un bucle infinito, lo que provocará un consumo continuo de recursos.
La Llave privada y otra información sensible se almacenan en el archivo .env. Después de obtener la Llave privada, el código malicioso comprobará la longitud de la Llave privada: si es menor que 85, entrará en un bucle infinito; si es mayor que 85, se convertirá en un objeto Keypair.
A continuación, el código malicioso decodifica la dirección URL codificada, obteniendo la dirección del servidor del atacante. Luego, construye un cuerpo de solicitud JSON para enviar la información de la llave privada a ese servidor, ignorando al mismo tiempo el resultado de la respuesta.
El método create_coingecko_proxy() se llama al inicio de la aplicación, durante la fase de inicialización del archivo de configuración. El nombre de este método está disfrazado, lo que lo hace algo confuso.
Tras el análisis, la IP del servidor del atacante se encuentra en Estados Unidos. El proyecto ha sido actualizado recientemente, y los cambios principales se concentran en el archivo de configuración, donde se ha reemplazado la codificación de la dirección del servidor del atacante.
Análisis dinámico
Para observar de manera intuitiva el proceso de robo, el equipo de seguridad escribió un script para generar pares de claves públicas y privadas para pruebas, y construyó un servidor HTTP que recibe solicitudes POST.
Reemplace la codificación de la dirección del servidor de pruebas por la codificación de la dirección maliciosa original y rellene la llave privada en el archivo .env. Después de iniciar el código malicioso, se podrá ver que el servidor de pruebas ha recibido correctamente los datos JSON que contienen información de la llave privada.
Además, se encontraron varios repositorios con métodos de implementación similares.
Resumen
Los atacantes se disfrazan de proyectos de código abierto legítimos para inducir a los usuarios a ejecutar código malicioso. Este proyecto lee información sensible local y transmite la llave privada robada al servidor del atacante. Este tipo de ataque suele combinar técnicas de ingeniería social, y los usuarios pueden caer fácilmente en la trampa con un pequeño descuido.
Se recomienda a los desarrolladores que mantengan precaución con los proyectos de origen desconocido, especialmente cuando se trata de operaciones con billeteras o Llave privada. Si se necesita depurar, debe hacerse en un entorno independiente y sin datos sensibles, evitando ejecutar programas y comandos de origen desconocido.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
8 me gusta
Recompensa
8
5
Republicar
Compartir
Comentar
0/400
RamenDeFiSurvivor
· hace11h
¿Los proyectos de Código abierto todavía se atreven a tocar? Es lo que se buscan.
Ver originalesResponder0
ChainPoet
· hace17h
¿Todavía estás usando proyectos de Código abierto? Despierta
Ver originalesResponder0
rugdoc.eth
· hace17h
Mira el código diez veces antes de hacer cualquier ajuste.
Ver originalesResponder0
MonkeySeeMonkeyDo
· hace17h
Realmente hay artesanos, impresionante.
Ver originalesResponder0
FUD_Whisperer
· hace17h
¿De qué tengo miedo? Yo solo uso herramientas de Código abierto altcoin.
Aparece un nuevo tipo de Bots de robo de Llave privada en el ecosistema de Solana. Mantente alerta, los proyectos de Código abierto pueden ocultar secretos.
La ecología de Solana presenta nuevamente Bots maliciosos: el archivo de configuración oculta trampas para robar Llave privada
A principios de julio de 2025, un usuario solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos habían sido robados. Tras una investigación, se descubrió que el incidente se originó a partir del uso por parte de ese usuario de un proyecto de código abierto alojado en una determinada plataforma de código, lo que desencadenó un comportamiento encubierto de robo de monedas.
Recientemente, otro usuario ha perdido activos criptográficos debido al uso de proyectos de código abierto similares como audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. En respuesta, el equipo de seguridad llevó a cabo un análisis profundo.
Proceso de análisis
Análisis estático
A través de un análisis estático, se encontró que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada.
En el método import_env_var(), se utiliza principalmente para obtener la información de configuración de las variables de entorno en el archivo .env. Si la variable de entorno no existe, entrará en un bucle infinito, lo que provocará un consumo continuo de recursos.
La Llave privada y otra información sensible se almacenan en el archivo .env. Después de obtener la Llave privada, el código malicioso comprobará la longitud de la Llave privada: si es menor que 85, entrará en un bucle infinito; si es mayor que 85, se convertirá en un objeto Keypair.
A continuación, el código malicioso decodifica la dirección URL codificada, obteniendo la dirección del servidor del atacante. Luego, construye un cuerpo de solicitud JSON para enviar la información de la llave privada a ese servidor, ignorando al mismo tiempo el resultado de la respuesta.
El método create_coingecko_proxy() se llama al inicio de la aplicación, durante la fase de inicialización del archivo de configuración. El nombre de este método está disfrazado, lo que lo hace algo confuso.
Tras el análisis, la IP del servidor del atacante se encuentra en Estados Unidos. El proyecto ha sido actualizado recientemente, y los cambios principales se concentran en el archivo de configuración, donde se ha reemplazado la codificación de la dirección del servidor del atacante.
Análisis dinámico
Para observar de manera intuitiva el proceso de robo, el equipo de seguridad escribió un script para generar pares de claves públicas y privadas para pruebas, y construyó un servidor HTTP que recibe solicitudes POST.
Reemplace la codificación de la dirección del servidor de pruebas por la codificación de la dirección maliciosa original y rellene la llave privada en el archivo .env. Después de iniciar el código malicioso, se podrá ver que el servidor de pruebas ha recibido correctamente los datos JSON que contienen información de la llave privada.
Indicadores de intrusión
Además, se encontraron varios repositorios con métodos de implementación similares.
Resumen
Los atacantes se disfrazan de proyectos de código abierto legítimos para inducir a los usuarios a ejecutar código malicioso. Este proyecto lee información sensible local y transmite la llave privada robada al servidor del atacante. Este tipo de ataque suele combinar técnicas de ingeniería social, y los usuarios pueden caer fácilmente en la trampa con un pequeño descuido.
Se recomienda a los desarrolladores que mantengan precaución con los proyectos de origen desconocido, especialmente cuando se trata de operaciones con billeteras o Llave privada. Si se necesita depurar, debe hacerse en un entorno independiente y sin datos sensibles, evitando ejecutar programas y comandos de origen desconocido.