Aparece un nuevo tipo de Bots de robo de Llave privada en el ecosistema de Solana. Mantente alerta, los proyectos de Código abierto pueden ocultar secretos.

robot
Generación de resúmenes en curso

La ecología de Solana presenta nuevamente Bots maliciosos: el archivo de configuración oculta trampas para robar Llave privada

A principios de julio de 2025, un usuario solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos habían sido robados. Tras una investigación, se descubrió que el incidente se originó a partir del uso por parte de ese usuario de un proyecto de código abierto alojado en una determinada plataforma de código, lo que desencadenó un comportamiento encubierto de robo de monedas.

Recientemente, otro usuario ha perdido activos criptográficos debido al uso de proyectos de código abierto similares como audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. En respuesta, el equipo de seguridad llevó a cabo un análisis profundo.

Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada

Proceso de análisis

Análisis estático

A través de un análisis estático, se encontró que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada.

Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la filtración de Llave privada

En el método import_env_var(), se utiliza principalmente para obtener la información de configuración de las variables de entorno en el archivo .env. Si la variable de entorno no existe, entrará en un bucle infinito, lo que provocará un consumo continuo de recursos.

Solana ecosistema muestra de nuevo Bots maliciosos: archivo de configuración oculta trampa de divulgación de Llave privada

La Llave privada y otra información sensible se almacenan en el archivo .env. Después de obtener la Llave privada, el código malicioso comprobará la longitud de la Llave privada: si es menor que 85, entrará en un bucle infinito; si es mayor que 85, se convertirá en un objeto Keypair.

Solana ecosistema vuelve a haber Bots maliciosos: el archivo de configuración oculta trampas para la fuga de Llave privada

A continuación, el código malicioso decodifica la dirección URL codificada, obteniendo la dirección del servidor del atacante. Luego, construye un cuerpo de solicitud JSON para enviar la información de la llave privada a ese servidor, ignorando al mismo tiempo el resultado de la respuesta.

Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada

El método create_coingecko_proxy() se llama al inicio de la aplicación, durante la fase de inicialización del archivo de configuración. El nombre de este método está disfrazado, lo que lo hace algo confuso.

Solana ecosistema nuevamente presenta Bots maliciosos: el perfil oculta trampas para la filtración de la Llave privada

Tras el análisis, la IP del servidor del atacante se encuentra en Estados Unidos. El proyecto ha sido actualizado recientemente, y los cambios principales se concentran en el archivo de configuración, donde se ha reemplazado la codificación de la dirección del servidor del atacante.

Solana ecosistema presenta Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada

Análisis dinámico

Para observar de manera intuitiva el proceso de robo, el equipo de seguridad escribió un script para generar pares de claves públicas y privadas para pruebas, y construyó un servidor HTTP que recibe solicitudes POST.

Solana ecosistema vuelve a ver Bots maliciosos: la configuración oculta trampas de Llave privada

Reemplace la codificación de la dirección del servidor de pruebas por la codificación de la dirección maliciosa original y rellene la llave privada en el archivo .env. Después de iniciar el código malicioso, se podrá ver que el servidor de pruebas ha recibido correctamente los datos JSON que contienen información de la llave privada.

El ecosistema de Solana vuelve a presentar Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada

Indicadores de intrusión

  • IP: 103.35.189.28
  • Dominio: storebackend-qpq3.onrender.com
  • Almacén malicioso: audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot

Además, se encontraron varios repositorios con métodos de implementación similares.

Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil oculta la trampa de la Llave privada

Resumen

Los atacantes se disfrazan de proyectos de código abierto legítimos para inducir a los usuarios a ejecutar código malicioso. Este proyecto lee información sensible local y transmite la llave privada robada al servidor del atacante. Este tipo de ataque suele combinar técnicas de ingeniería social, y los usuarios pueden caer fácilmente en la trampa con un pequeño descuido.

Se recomienda a los desarrolladores que mantengan precaución con los proyectos de origen desconocido, especialmente cuando se trata de operaciones con billeteras o Llave privada. Si se necesita depurar, debe hacerse en un entorno independiente y sin datos sensibles, evitando ejecutar programas y comandos de origen desconocido.

SOL1.15%
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • 5
  • Republicar
  • Compartir
Comentar
0/400
RamenDeFiSurvivorvip
· hace11h
¿Los proyectos de Código abierto todavía se atreven a tocar? Es lo que se buscan.
Ver originalesResponder0
ChainPoetvip
· hace17h
¿Todavía estás usando proyectos de Código abierto? Despierta
Ver originalesResponder0
rugdoc.ethvip
· hace17h
Mira el código diez veces antes de hacer cualquier ajuste.
Ver originalesResponder0
MonkeySeeMonkeyDovip
· hace17h
Realmente hay artesanos, impresionante.
Ver originalesResponder0
FUD_Whisperervip
· hace17h
¿De qué tengo miedo? Yo solo uso herramientas de Código abierto altcoin.
Ver originalesResponder0
Opere con criptomonedas en cualquier momento y lugar
qrCode
Escanee para descargar la aplicación Gate
Comunidad
Español
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)