Ecosistema de Solana vuelve a ser víctima de Bots maliciosos: trampa de filtración de Llave privada oculta en el perfil
A principios de julio de 2025, un usuario pidió ayuda al equipo de seguridad, solicitando un análisis de las razones por las que sus activos criptográficos fueron robados. La investigación reveló que el incidente se originó en el uso por parte del usuario de un proyecto de código abierto alojado en GitHub, lo que activó un comportamiento oculto de robo de monedas.
Recientemente, otros usuarios han sufrido el robo de sus activos debido al uso de proyectos de código abierto similares y se han puesto en contacto con el equipo de seguridad. Al respecto, el equipo ha realizado un análisis más profundo de esta técnica de ataque.
Proceso de análisis
Análisis estático
A través del análisis estático, se descubrió que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente dentro del método create_coingecko_proxy(). Este método primero llama a import_wallet(), y luego llama a import_env_var() para obtener la Llave privada.
import_env_var() método se utiliza para obtener la información de configuración de variables de entorno en el archivo .env. Si la variable de entorno no existe, se entrará en la rama de manejo de errores y se seguirán consumiendo recursos.
La información sensible como la Llave privada se almacena en el archivo .env. El método import_wallet() obtiene la Llave privada y verifica su longitud:
Si es menor que 85, imprime un mensaje de error y sigue consumiendo recursos
Si es mayor que 85, convierte la cadena Base58 en un objeto Keypair que contiene la Llave privada.
A continuación, el código malicioso encapsula la información de la llave privada para soportar el uso compartido multihilo.
create_coingecko_proxy() método después de obtener la Llave privada, decodifica las direcciones URL maliciosas. La dirección real decodificada es:
El código malicioso convierte la llave privada en una cadena Base58, construye el cuerpo de la solicitud JSON y lo envía a la URL mencionada mediante una solicitud POST, ignorando simultáneamente el resultado de la respuesta.
Además, el método también incluye funciones normales como obtener precios, para encubrir comportamientos maliciosos. El nombre del método también ha sido disfrazado, lo que resulta confuso.
El método create_coingecko_proxy() se llama al iniciar la aplicación, ubicado en la fase de inicialización del archivo de configuración del método main() en main.rs.
Según el análisis, la dirección IP del servidor se encuentra en Estados Unidos.
El proyecto fue actualizado en GitHub el 17 de julio de 2025, y los principales cambios se centraron en el archivo de configuración config.rs en el directorio src. La codificación de la dirección del servidor del atacante fue reemplazada por una nueva codificación.
Análisis dinámico
Para observar intuitivamente el proceso de robo, escribe un script en Python para generar un par de claves públicas y privadas de Solana para pruebas, y configura un servidor HTTP en el servidor para recibir solicitudes POST.
Reemplace la codificación de la dirección del servidor de prueba generada por la codificación de la dirección del servidor malicioso configurada originalmente por el atacante, y reemplace la llave privada en el archivo .env por la llave privada de prueba.
Después de activar el código malicioso, el servidor de pruebas recibió con éxito los datos JSON enviados por el proyecto malicioso, que contenían información de la llave privada.
Indicadores de intrusión ( IoCs )
IP地址:103.35.189.28
Dominio:storebackend-qpq3.onrender.com
Repositorio malicioso:
Otros repositorios con métodos de implementación similares:
Resumen
En este ataque, los atacantes se disfrazaron como un proyecto de código abierto legítimo, induciendo a los usuarios a descargar y ejecutar código malicioso. Este proyecto lee información sensible del archivo .env local y transmite la llave privada robada a un servidor controlado por el atacante. Este tipo de ataques generalmente combina técnicas de ingeniería social, y los usuarios pueden caer en la trampa con un pequeño descuido.
Se sugiere a los desarrolladores que mantengan una alta vigilancia con respecto a los proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones de billetera o llave privada. Si es necesario ejecutar o depurar, se recomienda hacerlo en un entorno aislado y sin datos sensibles, evitando la ejecución de programas y comandos maliciosos de origen desconocido.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
7
Compartir
Comentar
0/400
BlockchainBouncer
· hace2h
¿Otra trampa clásica?
Ver originalesResponder0
MeltdownSurvivalist
· 07-26 12:51
Otra vez los tokens meme trampa, jeje
Ver originalesResponder0
HallucinationGrower
· 07-25 04:45
¡Ha vuelto a pasar algo, por eso nunca uso sol!
Ver originalesResponder0
GasWaster
· 07-25 04:37
¿Otra vez menospreciando nuestro gran sol?
Ver originalesResponder0
GasFeeNightmare
· 07-25 04:33
¿A quién más quieren tomar a la gente por tonta? Ya han tomado a la gente por tonta a todos.
Ver originalesResponder0
BlockTalk
· 07-25 04:26
Otra tanda de tontos va a tomar a la gente por tonta
El ecosistema de Solana presenta nuevamente código malicioso, un proyecto en GitHub esconde trampas para el robo de Llave privada.
Ecosistema de Solana vuelve a ser víctima de Bots maliciosos: trampa de filtración de Llave privada oculta en el perfil
A principios de julio de 2025, un usuario pidió ayuda al equipo de seguridad, solicitando un análisis de las razones por las que sus activos criptográficos fueron robados. La investigación reveló que el incidente se originó en el uso por parte del usuario de un proyecto de código abierto alojado en GitHub, lo que activó un comportamiento oculto de robo de monedas.
Recientemente, otros usuarios han sufrido el robo de sus activos debido al uso de proyectos de código abierto similares y se han puesto en contacto con el equipo de seguridad. Al respecto, el equipo ha realizado un análisis más profundo de esta técnica de ataque.
Proceso de análisis
Análisis estático
A través del análisis estático, se descubrió que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente dentro del método create_coingecko_proxy(). Este método primero llama a import_wallet(), y luego llama a import_env_var() para obtener la Llave privada.
import_env_var() método se utiliza para obtener la información de configuración de variables de entorno en el archivo .env. Si la variable de entorno no existe, se entrará en la rama de manejo de errores y se seguirán consumiendo recursos.
La información sensible como la Llave privada se almacena en el archivo .env. El método import_wallet() obtiene la Llave privada y verifica su longitud:
A continuación, el código malicioso encapsula la información de la llave privada para soportar el uso compartido multihilo.
create_coingecko_proxy() método después de obtener la Llave privada, decodifica las direcciones URL maliciosas. La dirección real decodificada es:
El código malicioso convierte la llave privada en una cadena Base58, construye el cuerpo de la solicitud JSON y lo envía a la URL mencionada mediante una solicitud POST, ignorando simultáneamente el resultado de la respuesta.
Además, el método también incluye funciones normales como obtener precios, para encubrir comportamientos maliciosos. El nombre del método también ha sido disfrazado, lo que resulta confuso.
El método create_coingecko_proxy() se llama al iniciar la aplicación, ubicado en la fase de inicialización del archivo de configuración del método main() en main.rs.
Según el análisis, la dirección IP del servidor se encuentra en Estados Unidos.
El proyecto fue actualizado en GitHub el 17 de julio de 2025, y los principales cambios se centraron en el archivo de configuración config.rs en el directorio src. La codificación de la dirección del servidor del atacante fue reemplazada por una nueva codificación.
Análisis dinámico
Para observar intuitivamente el proceso de robo, escribe un script en Python para generar un par de claves públicas y privadas de Solana para pruebas, y configura un servidor HTTP en el servidor para recibir solicitudes POST.
Reemplace la codificación de la dirección del servidor de prueba generada por la codificación de la dirección del servidor malicioso configurada originalmente por el atacante, y reemplace la llave privada en el archivo .env por la llave privada de prueba.
Después de activar el código malicioso, el servidor de pruebas recibió con éxito los datos JSON enviados por el proyecto malicioso, que contenían información de la llave privada.
Indicadores de intrusión ( IoCs )
IP地址:103.35.189.28
Dominio:storebackend-qpq3.onrender.com
Repositorio malicioso:
Otros repositorios con métodos de implementación similares:
Resumen
En este ataque, los atacantes se disfrazaron como un proyecto de código abierto legítimo, induciendo a los usuarios a descargar y ejecutar código malicioso. Este proyecto lee información sensible del archivo .env local y transmite la llave privada robada a un servidor controlado por el atacante. Este tipo de ataques generalmente combina técnicas de ingeniería social, y los usuarios pueden caer en la trampa con un pequeño descuido.
Se sugiere a los desarrolladores que mantengan una alta vigilancia con respecto a los proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones de billetera o llave privada. Si es necesario ejecutar o depurar, se recomienda hacerlo en un entorno aislado y sin datos sensibles, evitando la ejecución de programas y comandos maliciosos de origen desconocido.