Baru-baru ini, tim keamanan telah menemukan beberapa kasus pencurian aset kripto yang disebabkan oleh penggunaan proyek alat open-source Solana yang dihosting di GitHub. Dalam kasus terbaru, pengguna yang menjadi korban menggunakan proyek open-source bernama pumpfun-pumpswap-sniper-copy-trading-bot, yang mengakibatkan pemicu mekanisme pencurian yang tersembunyi di dalamnya.
Setelah dianalisis, kode serangan inti dari proyek jahat ini terletak di dalam file konfigurasi src/common/config.rs, yang terutama terfokus pada metode create_coingecko_proxy(). Metode ini mendapatkan informasi kunci pribadi pengguna dengan memanggil import_wallet() dan import_env_var().
Secara khusus, metode import_env_var() akan membaca informasi sensitif seperti Kunci Pribadi yang disimpan dalam file .env. Selanjutnya, kode berbahaya akan memeriksa panjang dan melakukan konversi format pada Kunci Pribadi yang diperoleh, dan menggunakan Arc untuk membungkusnya dalam multithreading.
Selanjutnya, metode create_coingecko_proxy() akan mendekode alamat URL jahat yang telah ditentukan. URL ini mengarah ke server yang dikendalikan oleh penyerang, yaitu:
Kode jahat kemudian akan membangun tubuh permintaan JSON yang berisi Kunci Pribadi, mengirimkan data ke server tersebut melalui permintaan POST. Untuk menyembunyikan perilaku jahat, metode ini juga mencakup fungsi normal seperti mendapatkan harga.
Perlu dicatat bahwa proyek jahat ini baru-baru ini diperbarui pada 17 Juli 2025 di GitHub, terutama memodifikasi alamat server penyerang pada file config.rs HELIUS_PROXY(. Setelah didekode, alamat server asli adalah:
Selain itu, tim keamanan juga menemukan beberapa repositori GitHub yang menggunakan metode serupa, seperti Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust, dan lain-lain.
![Solana ekosistem kembali muncul Bot jahat: profil menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
Secara keseluruhan, jenis serangan ini menipu pengguna dengan menyamar sebagai proyek sumber terbuka yang sah. Setelah pengguna menjalankan kode berbahaya, kunci pribadinya akan dicuri dan dikirim ke server penyerang. Oleh karena itu, para pengembang dan pengguna harus tetap waspada saat menggunakan proyek GitHub yang tidak diketahui sumbernya, terutama yang melibatkan dompet atau operasi kunci pribadi. Disarankan untuk melakukan pengujian di lingkungan terisolasi, menghindari menjalankan kode yang belum diverifikasi di lingkungan resmi.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Robot jahat baru di ekosistem Solana: Proyek GitHub menyimpan jebakan pencurian Kunci Pribadi
Ekosistem Solana Muncul Robot Jahat Baru: Profil Tersembunyi Memperangkap Pencurian Kunci Pribadi
Baru-baru ini, tim keamanan telah menemukan beberapa kasus pencurian aset kripto yang disebabkan oleh penggunaan proyek alat open-source Solana yang dihosting di GitHub. Dalam kasus terbaru, pengguna yang menjadi korban menggunakan proyek open-source bernama pumpfun-pumpswap-sniper-copy-trading-bot, yang mengakibatkan pemicu mekanisme pencurian yang tersembunyi di dalamnya.
Setelah dianalisis, kode serangan inti dari proyek jahat ini terletak di dalam file konfigurasi src/common/config.rs, yang terutama terfokus pada metode create_coingecko_proxy(). Metode ini mendapatkan informasi kunci pribadi pengguna dengan memanggil import_wallet() dan import_env_var().
Secara khusus, metode import_env_var() akan membaca informasi sensitif seperti Kunci Pribadi yang disimpan dalam file .env. Selanjutnya, kode berbahaya akan memeriksa panjang dan melakukan konversi format pada Kunci Pribadi yang diperoleh, dan menggunakan Arc untuk membungkusnya dalam multithreading.
Selanjutnya, metode create_coingecko_proxy() akan mendekode alamat URL jahat yang telah ditentukan. URL ini mengarah ke server yang dikendalikan oleh penyerang, yaitu:
Kode jahat kemudian akan membangun tubuh permintaan JSON yang berisi Kunci Pribadi, mengirimkan data ke server tersebut melalui permintaan POST. Untuk menyembunyikan perilaku jahat, metode ini juga mencakup fungsi normal seperti mendapatkan harga.
Perlu dicatat bahwa proyek jahat ini baru-baru ini diperbarui pada 17 Juli 2025 di GitHub, terutama memodifikasi alamat server penyerang pada file config.rs HELIUS_PROXY(. Setelah didekode, alamat server asli adalah:
![Solana生态再现恶意Bot:配置文件暗藏Kunci Pribadi外传陷阱])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
Selain itu, tim keamanan juga menemukan beberapa repositori GitHub yang menggunakan metode serupa, seperti Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust, dan lain-lain.
![Solana ekosistem kembali muncul Bot jahat: profil menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
Secara keseluruhan, jenis serangan ini menipu pengguna dengan menyamar sebagai proyek sumber terbuka yang sah. Setelah pengguna menjalankan kode berbahaya, kunci pribadinya akan dicuri dan dikirim ke server penyerang. Oleh karena itu, para pengembang dan pengguna harus tetap waspada saat menggunakan proyek GitHub yang tidak diketahui sumbernya, terutama yang melibatkan dompet atau operasi kunci pribadi. Disarankan untuk melakukan pengujian di lingkungan terisolasi, menghindari menjalankan kode yang belum diverifikasi di lingkungan resmi.
![Solana ekosistem kembali menghadirkan Bot jahat: profil konfigurasi menyimpan perangkap pengiriman Kunci Pribadi])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(