# ソラナエコシステムに新型の悪意あるボットが出現: プロファイルに秘密鍵盗取の罠が潜んでいる最近、安全チームはGitHubにホスティングされたオープンソースのソラナツールプロジェクトを使用したために暗号資産が盗まれるケースが続発していることを発見しました。最新のケースでは、被害者はpumpfun-pumpswap-sniper-copy-trading-botという名前のオープンソースプロジェクトを使用した結果、その中に隠された盗難メカニズムが発動しました。! [悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ](https://img-cdn.gateio.im/social/moments-18e2e53ca3a5e4a8aa697fefefefe2d3dc09)分析の結果、この悪意のあるプロジェクトの核心的な攻撃コードはsrc/common/config.rsの設定ファイルにあり、主にcreate_coingecko_proxy()メソッド内に集中しています。このメソッドは、import_wallet()とimport_env_var()を呼び出すことによって、ユーザーの秘密鍵情報を取得します。! [悪意のあるボットのSolana生態学的複製:設定ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-1b9cc836d53854710f7ef3b8406e63ad)具体的には、import_env_var()メソッドは、.envファイルに保存されたPRIVATE_KEYなどの敏感情報を読み取ります。その後、悪意のあるコードは取得した秘密鍵に対して長さの検証と形式の変換を行い、Arcを使用してマルチスレッドでラッピングします。! [悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-64fa1620b6e02f9f0babadd4ae8038be)次に、create_coingecko_proxy()メソッドは、予め設定された悪意のあるURLアドレスをデコードします。このURLは攻撃者が制御するサーバーを指しており、具体的には:! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-52dfae255e511bbb7a9813af7340c52e)悪意のあるコードは、その後、秘密鍵を含むJSONリクエストボディを構築し、POSTリクエストを通じてデータをそのサーバーに送信します。悪意のある行動を隠すために、この方法には価格を取得するなどの正常な機能も含まれています。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ](https://img-cdn.gateio.im/social/moments-453d878924f97e2f24033e4d40f0a24c)注意すべき点は、この悪意のあるプロジェクトが最近(2025年7月17日)にGitHubで更新され、主にconfig.rsファイル内のHELIUS_PROXY(攻撃者サーバーアドレス)のエンコーディングが修正されたことです。デコード後、元のサーバーアドレスは次のようになります:! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-c092752ca8254c7c3dfa22bde91a954c)さらに、セキュリティチームは、Solana-MEV-Bot-Optimized、solana-copytrading-bot-rustなど、同様の戦術を使用する複数のGitHubリポジトリを発見しました。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78)総じて、この種の攻撃は合法的なオープンソースプロジェクトを装ってユーザーを欺くものです。ユーザーが悪意のあるコードを実行すると、その秘密鍵が盗まれ、攻撃者のサーバーに送信されます。したがって、開発者とユーザーは、出所の不明なGitHubプロジェクトを使用する際には特に注意が必要であり、特にウォレットや秘密鍵の操作に関わる場合には注意が必要です。検証されていないコードを本番環境で直接実行することを避け、隔離された環境でテストすることをお勧めします。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177)
ソラナエコシステムの新型悪意ボット:GitHubプロジェクトに秘密鍵盗取の罠が隠されている
ソラナエコシステムに新型の悪意あるボットが出現: プロファイルに秘密鍵盗取の罠が潜んでいる
最近、安全チームはGitHubにホスティングされたオープンソースのソラナツールプロジェクトを使用したために暗号資産が盗まれるケースが続発していることを発見しました。最新のケースでは、被害者はpumpfun-pumpswap-sniper-copy-trading-botという名前のオープンソースプロジェクトを使用した結果、その中に隠された盗難メカニズムが発動しました。
! 悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ
分析の結果、この悪意のあるプロジェクトの核心的な攻撃コードはsrc/common/config.rsの設定ファイルにあり、主にcreate_coingecko_proxy()メソッド内に集中しています。このメソッドは、import_wallet()とimport_env_var()を呼び出すことによって、ユーザーの秘密鍵情報を取得します。
! 悪意のあるボットのSolana生態学的複製:設定ファイルの隠し秘密鍵トラップ
具体的には、import_env_var()メソッドは、.envファイルに保存されたPRIVATE_KEYなどの敏感情報を読み取ります。その後、悪意のあるコードは取得した秘密鍵に対して長さの検証と形式の変換を行い、Arcを使用してマルチスレッドでラッピングします。
! 悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ
次に、create_coingecko_proxy()メソッドは、予め設定された悪意のあるURLアドレスをデコードします。このURLは攻撃者が制御するサーバーを指しており、具体的には:
! Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ
悪意のあるコードは、その後、秘密鍵を含むJSONリクエストボディを構築し、POSTリクエストを通じてデータをそのサーバーに送信します。悪意のある行動を隠すために、この方法には価格を取得するなどの正常な機能も含まれています。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ
注意すべき点は、この悪意のあるプロジェクトが最近(2025年7月17日)にGitHubで更新され、主にconfig.rsファイル内のHELIUS_PROXY(攻撃者サーバーアドレス)のエンコーディングが修正されたことです。デコード後、元のサーバーアドレスは次のようになります:
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ
さらに、セキュリティチームは、Solana-MEV-Bot-Optimized、solana-copytrading-bot-rustなど、同様の戦術を使用する複数のGitHubリポジトリを発見しました。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ
総じて、この種の攻撃は合法的なオープンソースプロジェクトを装ってユーザーを欺くものです。ユーザーが悪意のあるコードを実行すると、その秘密鍵が盗まれ、攻撃者のサーバーに送信されます。したがって、開発者とユーザーは、出所の不明なGitHubプロジェクトを使用する際には特に注意が必要であり、特にウォレットや秘密鍵の操作に関わる場合には注意が必要です。検証されていないコードを本番環境で直接実行することを避け、隔離された環境でテストすることをお勧めします。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ