Aparecen nuevos bots maliciosos en el ecosistema Solana: el perfil oculta trampas para robar llaves privadas
Recientemente, el equipo de seguridad ha descubierto varios casos de robo de activos criptográficos debido al uso de proyectos de herramientas de Solana de código abierto alojados en GitHub. En el último caso, el usuario afectado utilizó un proyecto de código abierto llamado pumpfun-pumpswap-sniper-copy-trading-bot, lo que resultó en la activación del mecanismo oculto de robo de monedas.
Tras el análisis, el código de ataque central del proyecto malicioso se encuentra en el archivo de configuración src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método obtiene la información de la llave privada del usuario llamando a import_wallet() e import_env_var().
En concreto, el método import_env_var() leerá la información sensible como la Llave privada almacenada en el archivo .env. Luego, el código malicioso realizará una verificación de longitud y conversión de formato sobre la Llave privada obtenida, y utilizará Arc para encapsulamiento multihilo.
A continuación, el método create_coingecko_proxy() decodificará las URL maliciosas predefinidas. Esta URL apunta a un servidor controlado por el atacante, específicamente a:
El código malicioso luego construirá un cuerpo de solicitud JSON que contiene la Llave privada y enviará los datos a ese servidor a través de una solicitud POST. Para encubrir el comportamiento malicioso, este método también incluye funciones normales como la obtención de precios.
Es importante notar que este proyecto malicioso fue actualizado recientemente el 17 de julio de 2025 en GitHub, principalmente modificando la dirección del servidor del atacante codificada en el archivo config.rs HELIUS_PROXY. Decodificándola, se puede obtener la dirección original del servidor:
Además, el equipo de seguridad también descubrió varios repositorios de GitHub que utilizan métodos similares, como Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust, entre otros.
En general, este tipo de ataques engaña a los usuarios al disfrazarse de proyectos de código abierto legítimos. Una vez que el usuario ejecuta el código malicioso, su llave privada será robada y enviada al servidor del atacante. Por lo tanto, los desarrolladores y los usuarios deben mantener la vigilancia al utilizar proyectos de GitHub de origen desconocido, especialmente en situaciones que impliquen operaciones de billetera o llave privada. Se recomienda realizar pruebas en un entorno aislado para evitar ejecutar código no verificado directamente en un entorno de producción.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Nuevo tipo de Bots maliciosos en el ecosistema de Solana: el proyecto de GitHub esconde trampas para robar Llaves privadas.
Aparecen nuevos bots maliciosos en el ecosistema Solana: el perfil oculta trampas para robar llaves privadas
Recientemente, el equipo de seguridad ha descubierto varios casos de robo de activos criptográficos debido al uso de proyectos de herramientas de Solana de código abierto alojados en GitHub. En el último caso, el usuario afectado utilizó un proyecto de código abierto llamado pumpfun-pumpswap-sniper-copy-trading-bot, lo que resultó en la activación del mecanismo oculto de robo de monedas.
Tras el análisis, el código de ataque central del proyecto malicioso se encuentra en el archivo de configuración src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método obtiene la información de la llave privada del usuario llamando a import_wallet() e import_env_var().
En concreto, el método import_env_var() leerá la información sensible como la Llave privada almacenada en el archivo .env. Luego, el código malicioso realizará una verificación de longitud y conversión de formato sobre la Llave privada obtenida, y utilizará Arc para encapsulamiento multihilo.
A continuación, el método create_coingecko_proxy() decodificará las URL maliciosas predefinidas. Esta URL apunta a un servidor controlado por el atacante, específicamente a:
El código malicioso luego construirá un cuerpo de solicitud JSON que contiene la Llave privada y enviará los datos a ese servidor a través de una solicitud POST. Para encubrir el comportamiento malicioso, este método también incluye funciones normales como la obtención de precios.
Es importante notar que este proyecto malicioso fue actualizado recientemente el 17 de julio de 2025 en GitHub, principalmente modificando la dirección del servidor del atacante codificada en el archivo config.rs HELIUS_PROXY. Decodificándola, se puede obtener la dirección original del servidor:
Además, el equipo de seguridad también descubrió varios repositorios de GitHub que utilizan métodos similares, como Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust, entre otros.
En general, este tipo de ataques engaña a los usuarios al disfrazarse de proyectos de código abierto legítimos. Una vez que el usuario ejecuta el código malicioso, su llave privada será robada y enviada al servidor del atacante. Por lo tanto, los desarrolladores y los usuarios deben mantener la vigilancia al utilizar proyectos de GitHub de origen desconocido, especialmente en situaciones que impliquen operaciones de billetera o llave privada. Se recomienda realizar pruebas en un entorno aislado para evitar ejecutar código no verificado directamente en un entorno de producción.