Une nouvelle génération de robots malveillants apparaît dans l'écosystème Solana : le profil cache un piège de vol de clé privée.
Récemment, l'équipe de sécurité a découvert plusieurs cas de vols d'actifs cryptographiques liés à l'utilisation de projets d'outils open source Solana hébergés sur GitHub. Dans le dernier cas, l'utilisateur victime a utilisé un projet open source nommé pumpfun-pumpswap-sniper-copy-trading-bot, ce qui a déclenché le mécanisme de vol caché.
Après analyse, le code d'attaque central de ce projet malveillant se trouve dans le fichier de configuration src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode obtient les informations de clé privée de l'utilisateur en appelant import_wallet() et import_env_var().
Plus précisément, la méthode import_env_var() lira les informations sensibles telles que la CLÉ PRIVÉE stockées dans le fichier .env. Ensuite, le code malveillant effectuera une vérification de longueur et une conversion de format de la clé privée obtenue, et utilisera Arc pour l'encapsulation multithread.
Ensuite, la méthode create_coingecko_proxy() va décoder l'adresse URL malveillante prédéfinie. Cette URL pointe vers un serveur contrôlé par l'attaquant, à savoir :
Le code malveillant va ensuite construire un corps de requête JSON contenant la clé privée, envoyant les données à ce serveur via une requête POST. Pour dissimuler le comportement malveillant, cette méthode inclut également des fonctionnalités normales telles que l'obtention des prix.
Il convient de noter que ce projet malveillant a récemment été mis à jour le 17 juillet 2025 sur GitHub, modifiant principalement l'adresse du serveur de l'attaquant dans le fichier config.rs, codée avec HELIUS_PROXY(. Après décodage, l'adresse du serveur d'origine est :
![Solana écosystème de nouveau victime de Bots malveillants : le profil cache un piège de fuite de Clé privée])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
De plus, l'équipe de sécurité a également découvert plusieurs dépôts GitHub utilisant des méthodes similaires, tels que Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust, etc.
![Solana écosystème réapparaît des Bots malveillants : le profil cache un piège d'exposition de Clé privée])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
Dans l'ensemble, ce type d'attaque trompe les utilisateurs en se faisant passer pour des projets open source légitimes. Une fois que l'utilisateur exécute le code malveillant, sa clé privée est volée et transmise au serveur de l'attaquant. Par conséquent, les développeurs et les utilisateurs doivent rester vigilants lorsqu'ils utilisent des projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations de portefeuille ou de clé privée. Il est conseillé de tester dans un environnement isolé pour éviter d'exécuter directement du code non vérifié dans un environnement de production.
![Des Bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège pour la fuite de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Nouveaux bots malveillants dans l'écosystème Solana : le projet GitHub cache un piège de vol de clé privée
Une nouvelle génération de robots malveillants apparaît dans l'écosystème Solana : le profil cache un piège de vol de clé privée.
Récemment, l'équipe de sécurité a découvert plusieurs cas de vols d'actifs cryptographiques liés à l'utilisation de projets d'outils open source Solana hébergés sur GitHub. Dans le dernier cas, l'utilisateur victime a utilisé un projet open source nommé pumpfun-pumpswap-sniper-copy-trading-bot, ce qui a déclenché le mécanisme de vol caché.
Après analyse, le code d'attaque central de ce projet malveillant se trouve dans le fichier de configuration src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode obtient les informations de clé privée de l'utilisateur en appelant import_wallet() et import_env_var().
Plus précisément, la méthode import_env_var() lira les informations sensibles telles que la CLÉ PRIVÉE stockées dans le fichier .env. Ensuite, le code malveillant effectuera une vérification de longueur et une conversion de format de la clé privée obtenue, et utilisera Arc pour l'encapsulation multithread.
Ensuite, la méthode create_coingecko_proxy() va décoder l'adresse URL malveillante prédéfinie. Cette URL pointe vers un serveur contrôlé par l'attaquant, à savoir :
Le code malveillant va ensuite construire un corps de requête JSON contenant la clé privée, envoyant les données à ce serveur via une requête POST. Pour dissimuler le comportement malveillant, cette méthode inclut également des fonctionnalités normales telles que l'obtention des prix.
Il convient de noter que ce projet malveillant a récemment été mis à jour le 17 juillet 2025 sur GitHub, modifiant principalement l'adresse du serveur de l'attaquant dans le fichier config.rs, codée avec HELIUS_PROXY(. Après décodage, l'adresse du serveur d'origine est :
![Solana écosystème de nouveau victime de Bots malveillants : le profil cache un piège de fuite de Clé privée])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
De plus, l'équipe de sécurité a également découvert plusieurs dépôts GitHub utilisant des méthodes similaires, tels que Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust, etc.
![Solana écosystème réapparaît des Bots malveillants : le profil cache un piège d'exposition de Clé privée])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
Dans l'ensemble, ce type d'attaque trompe les utilisateurs en se faisant passer pour des projets open source légitimes. Une fois que l'utilisateur exécute le code malveillant, sa clé privée est volée et transmise au serveur de l'attaquant. Par conséquent, les développeurs et les utilisateurs doivent rester vigilants lorsqu'ils utilisent des projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations de portefeuille ou de clé privée. Il est conseillé de tester dans un environnement isolé pour éviter d'exécuter directement du code non vérifié dans un environnement de production.
![Des Bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège pour la fuite de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(