Solana ekosisteminde kötü niyetli Botlar yeniden ortaya çıktı: Konfigürasyon dosyası Özel Anahtar sızdırma tuzağı
2025 yılının Temmuz ayının başlarında, bir kullanıcı güvenlik ekibine yardım talebinde bulundu ve kripto varlıklarının çalınma nedenini analiz etmelerini istedi. Araştırmalar, olayın kullanıcının GitHub'da barındırılan bir açık kaynak projesini kullanmasından kaynaklandığını ve gizli bir hırsızlık eylemini tetiklediğini ortaya koydu.
Son zamanlarda, benzer açık kaynak projelerini kullanarak varlıkları çalınan daha fazla kullanıcı oldu ve güvenlik ekibi ile iletişime geçti. Bu konuda, ekip saldırı yöntemini daha derinlemesine analiz etti.
Analiz Süreci
Statik Analiz
Statik analiz yoluyla, şüpheli kodun /src/common/config.rs yapılandırma dosyasında bulunduğu ve esasen create_coingecko_proxy() yönteminde yoğunlaştığı tespit edilmiştir. Bu yöntem önce import_wallet()'i çağırarak, ardından özel anahtarı almak için import_env_var()'i çağırır.
import_env_var() yöntemi, .env dosyasındaki çevresel değişken yapılandırma bilgilerini almak için kullanılır. Eğer çevresel değişken mevcut değilse, hata işleme dalına geçer ve kaynak tüketmeye devam eder.
ÖZEL ANAHTAR gibi hassas bilgiler .env dosyasında saklanmaktadır. import_wallet() yöntemini kullanarak Özel Anahtarı aldıktan sonra, uzunluğunu kontrol edecektir:
85'ten küçükse, hata mesajını yazdır ve kaynak tüketimine devam et
85'ten büyükse, Base58 dizesini içeren Özel Anahtar nesnesine dönüştür
Ardından, kötü niyetli kod, çoklu iş parçacığı paylaşımını desteklemek için özel anahtar bilgilerini kapsüller.
create_coingecko_proxy() yöntemi, özel anahtar alındıktan sonra kötü niyetli URL adreslerini çözmek için kullanılır. Çözülmüş gerçek adres şudur:
Kötü niyetli kod, özel anahtarı Base58 dizisine dönüştürerek JSON isteği gövdesini oluşturur ve POST isteği ile yukarıdaki URL'ye gönderir, aynı zamanda yanıt sonucunu göz ardı eder.
Ayrıca, bu yöntem fiyat gibi normal işlevleri elde etmeyi de içerir, kötü niyetli eylemleri gizlemek için. Yöntem adı da kamufle edilmiştir ve yanıltıcıdır.
Analizlere göre, bu sunucunun IP adresi Amerika'da yer almaktadır.
Proje, 17 Temmuz 2025'te GitHub'da güncellendi; ana değişiklikler, src dizinindeki yapılandırma dosyası config.rs üzerinde yoğunlaştı. Saldırgan sunucu adresinin kodlaması yeni bir kodlama ile değiştirildi.
Dinamik Analiz
Hırsızlık sürecini görsel olarak gözlemlemek için, test amaçlı Solana açık-özel anahtar çiftleri oluşturmak üzere bir Python betiği yazın ve POST isteklerini almak için bir HTTP sunucusu kurun.
Oluşturulan test sunucusu adres kodunu, orijinal saldırganın ayarladığı kötü niyetli sunucu adres koduyla değiştirin ve .env dosyasındaki Özel Anahtar'ı test Özel Anahtar ile değiştirin.
Kötü amaçlı kod başlatıldıktan sonra, test sunucusu kötü amaçlı projeden gelen JSON verilerini başarıyla aldı, bu veriler arasında Özel Anahtar bilgileri de bulunmaktadır.
İnvazyon Göstergeleri ( IoCs )
IP adresi:103.35.189.28
Alan adı:storebackend-qpq3.onrender.com
Kötü Niyetli Depo:
Benzer uygulama yöntemlerine sahip diğer depolar:
Özet
Bu saldırıda, saldırganlar meşru açık kaynak projeleri gibi davranarak kullanıcıları kötü niyetli kodları indirmeye ve çalıştırmaya teşvik etti. Bu proje, yerel .env dosyasındaki hassas bilgileri okuyacak ve çalınan Özel Anahtarları saldırganın kontrolündeki sunucuya iletecektir. Bu tür saldırılar genellikle sosyal mühendislik teknikleriyle birleşir, kullanıcıların en küçük bir dikkatsizliği bile onları hedef haline getirebilir.
Geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine karşı son derece dikkatli olmalarını öneriyoruz, özellikle cüzdan veya Özel Anahtar işlemleri ile ilgili olduğunda. Çalıştırmak veya hata ayıklamak gerekiyorsa, bağımsız ve hassas veri içermeyen bir ortamda yapılması önerilir, kaynağı belirsiz kötü amaçlı programları ve komutları çalıştırmaktan kaçınılmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
6
Share
Comment
0/400
MeltdownSurvivalist
· 18h ago
Yine meme tokenleri tuzağı hehe
View OriginalReply0
HallucinationGrower
· 07-25 04:45
Yine bir sorun çıktı, bu yüzden hep sol kullanmıyorum.
View OriginalReply0
GasWaster
· 07-25 04:37
Yine mi büyük solumu karartıyorsun?
View OriginalReply0
GasFeeNightmare
· 07-25 04:33
Artık kimin insanları enayi yerine koymak istediğini merak ediyorum, hepsini sizler enayi yerine koydunuz.
View OriginalReply0
BlockTalk
· 07-25 04:26
Yine bir grup enayiler insanları enayi yerine koymak
Solana ekosisteminde kötü amaçlı kod tekrar ortaya çıktı GitHub projesinde özel anahtar çalma tuzağı gizli
Solana ekosisteminde kötü niyetli Botlar yeniden ortaya çıktı: Konfigürasyon dosyası Özel Anahtar sızdırma tuzağı
2025 yılının Temmuz ayının başlarında, bir kullanıcı güvenlik ekibine yardım talebinde bulundu ve kripto varlıklarının çalınma nedenini analiz etmelerini istedi. Araştırmalar, olayın kullanıcının GitHub'da barındırılan bir açık kaynak projesini kullanmasından kaynaklandığını ve gizli bir hırsızlık eylemini tetiklediğini ortaya koydu.
Son zamanlarda, benzer açık kaynak projelerini kullanarak varlıkları çalınan daha fazla kullanıcı oldu ve güvenlik ekibi ile iletişime geçti. Bu konuda, ekip saldırı yöntemini daha derinlemesine analiz etti.
Analiz Süreci
Statik Analiz
Statik analiz yoluyla, şüpheli kodun /src/common/config.rs yapılandırma dosyasında bulunduğu ve esasen create_coingecko_proxy() yönteminde yoğunlaştığı tespit edilmiştir. Bu yöntem önce import_wallet()'i çağırarak, ardından özel anahtarı almak için import_env_var()'i çağırır.
import_env_var() yöntemi, .env dosyasındaki çevresel değişken yapılandırma bilgilerini almak için kullanılır. Eğer çevresel değişken mevcut değilse, hata işleme dalına geçer ve kaynak tüketmeye devam eder.
ÖZEL ANAHTAR gibi hassas bilgiler .env dosyasında saklanmaktadır. import_wallet() yöntemini kullanarak Özel Anahtarı aldıktan sonra, uzunluğunu kontrol edecektir:
Ardından, kötü niyetli kod, çoklu iş parçacığı paylaşımını desteklemek için özel anahtar bilgilerini kapsüller.
create_coingecko_proxy() yöntemi, özel anahtar alındıktan sonra kötü niyetli URL adreslerini çözmek için kullanılır. Çözülmüş gerçek adres şudur:
Kötü niyetli kod, özel anahtarı Base58 dizisine dönüştürerek JSON isteği gövdesini oluşturur ve POST isteği ile yukarıdaki URL'ye gönderir, aynı zamanda yanıt sonucunu göz ardı eder.
Ayrıca, bu yöntem fiyat gibi normal işlevleri elde etmeyi de içerir, kötü niyetli eylemleri gizlemek için. Yöntem adı da kamufle edilmiştir ve yanıltıcıdır.
create_coingecko_proxy() yöntemi, uygulama başlatıldığında main.rs dosyasındaki main() yönteminin yapılandırma dosyası başlatma aşamasında çağrılır.
Analizlere göre, bu sunucunun IP adresi Amerika'da yer almaktadır.
Proje, 17 Temmuz 2025'te GitHub'da güncellendi; ana değişiklikler, src dizinindeki yapılandırma dosyası config.rs üzerinde yoğunlaştı. Saldırgan sunucu adresinin kodlaması yeni bir kodlama ile değiştirildi.
Dinamik Analiz
Hırsızlık sürecini görsel olarak gözlemlemek için, test amaçlı Solana açık-özel anahtar çiftleri oluşturmak üzere bir Python betiği yazın ve POST isteklerini almak için bir HTTP sunucusu kurun.
Oluşturulan test sunucusu adres kodunu, orijinal saldırganın ayarladığı kötü niyetli sunucu adres koduyla değiştirin ve .env dosyasındaki Özel Anahtar'ı test Özel Anahtar ile değiştirin.
Kötü amaçlı kod başlatıldıktan sonra, test sunucusu kötü amaçlı projeden gelen JSON verilerini başarıyla aldı, bu veriler arasında Özel Anahtar bilgileri de bulunmaktadır.
İnvazyon Göstergeleri ( IoCs )
IP adresi:103.35.189.28
Alan adı:storebackend-qpq3.onrender.com
Kötü Niyetli Depo:
Benzer uygulama yöntemlerine sahip diğer depolar:
Özet
Bu saldırıda, saldırganlar meşru açık kaynak projeleri gibi davranarak kullanıcıları kötü niyetli kodları indirmeye ve çalıştırmaya teşvik etti. Bu proje, yerel .env dosyasındaki hassas bilgileri okuyacak ve çalınan Özel Anahtarları saldırganın kontrolündeki sunucuya iletecektir. Bu tür saldırılar genellikle sosyal mühendislik teknikleriyle birleşir, kullanıcıların en küçük bir dikkatsizliği bile onları hedef haline getirebilir.
Geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine karşı son derece dikkatli olmalarını öneriyoruz, özellikle cüzdan veya Özel Anahtar işlemleri ile ilgili olduğunda. Çalıştırmak veya hata ayıklamak gerekiyorsa, bağımsız ve hassas veri içermeyen bir ortamda yapılması önerilir, kaynağı belirsiz kötü amaçlı programları ve komutları çalıştırmaktan kaçınılmalıdır.