Nova classe de Bots maliciosos aparece no ecossistema Solana: perfis ocultam armadilhas para roubar Chave privada
Recentemente, a equipe de segurança descobriu vários casos de roubo de ativos criptográficos devido ao uso de projetos de ferramentas Solana de código aberto hospedados no GitHub. No último caso, o usuário vítima utilizou um projeto de código aberto chamado pumpfun-pumpswap-sniper-copy-trading-bot, resultando na ativação do mecanismo de roubo escondido dentro dele.
Após análise, o código de ataque central do projeto malicioso está localizado no arquivo de configuração src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método obtém as informações da chave privada do usuário chamando import_wallet() e import_env_var().
Especificamente, o método import_env_var() irá ler informações sensíveis, como a CHAVE PRIVADA, armazenadas no arquivo .env. Em seguida, o código malicioso fará a verificação de comprimento e a conversão de formato da CHAVE PRIVADA obtida, e usará o Arc para encapsulamento multithread.
Em seguida, o método create_coingecko_proxy() irá decodificar o endereço URL malicioso pré-definido. Este URL aponta para um servidor controlado pelo atacante, especificamente:
O código malicioso irá então construir um corpo de requisição JSON contendo a Chave privada, enviando os dados para o servidor através de uma requisição POST. Para encobrir o comportamento malicioso, esse método também inclui funções normais como a obtenção de preços.
É importante notar que este projeto malicioso foi atualizado recentemente em 17 de julho de 2025 no GitHub, principalmente modificando a codificação do endereço do servidor do atacante no arquivo config.rs HELIUS_PROXY. Após a decodificação, o endereço do servidor original pode ser obtido como:
Além disso, a equipe de segurança também encontrou vários repositórios do GitHub que utilizam métodos semelhantes, como Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust, entre outros.
De um modo geral, este tipo de ataque engana os usuários disfarçando-se como projetos de código aberto legítimos. Uma vez que o usuário executa o código malicioso, a sua chave privada é roubada e transmitida para o servidor do atacante. Portanto, desenvolvedores e usuários devem manter-se vigilantes ao usar projetos do GitHub de origem desconhecida, especialmente em casos que envolvem carteiras ou operações com chaves privadas. Recomenda-se realizar testes em um ambiente isolado, evitando a execução direta de código não verificado em um ambiente de produção.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Novos Bots maliciosos no ecossistema Solana: projeto no GitHub esconde armadilhas para roubo de Chave privada
Nova classe de Bots maliciosos aparece no ecossistema Solana: perfis ocultam armadilhas para roubar Chave privada
Recentemente, a equipe de segurança descobriu vários casos de roubo de ativos criptográficos devido ao uso de projetos de ferramentas Solana de código aberto hospedados no GitHub. No último caso, o usuário vítima utilizou um projeto de código aberto chamado pumpfun-pumpswap-sniper-copy-trading-bot, resultando na ativação do mecanismo de roubo escondido dentro dele.
Após análise, o código de ataque central do projeto malicioso está localizado no arquivo de configuração src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método obtém as informações da chave privada do usuário chamando import_wallet() e import_env_var().
Especificamente, o método import_env_var() irá ler informações sensíveis, como a CHAVE PRIVADA, armazenadas no arquivo .env. Em seguida, o código malicioso fará a verificação de comprimento e a conversão de formato da CHAVE PRIVADA obtida, e usará o Arc para encapsulamento multithread.
Em seguida, o método create_coingecko_proxy() irá decodificar o endereço URL malicioso pré-definido. Este URL aponta para um servidor controlado pelo atacante, especificamente:
O código malicioso irá então construir um corpo de requisição JSON contendo a Chave privada, enviando os dados para o servidor através de uma requisição POST. Para encobrir o comportamento malicioso, esse método também inclui funções normais como a obtenção de preços.
É importante notar que este projeto malicioso foi atualizado recentemente em 17 de julho de 2025 no GitHub, principalmente modificando a codificação do endereço do servidor do atacante no arquivo config.rs HELIUS_PROXY. Após a decodificação, o endereço do servidor original pode ser obtido como:
Além disso, a equipe de segurança também encontrou vários repositórios do GitHub que utilizam métodos semelhantes, como Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust, entre outros.
De um modo geral, este tipo de ataque engana os usuários disfarçando-se como projetos de código aberto legítimos. Uma vez que o usuário executa o código malicioso, a sua chave privada é roubada e transmitida para o servidor do atacante. Portanto, desenvolvedores e usuários devem manter-se vigilantes ao usar projetos do GitHub de origem desconhecida, especialmente em casos que envolvem carteiras ou operações com chaves privadas. Recomenda-se realizar testes em um ambiente isolado, evitando a execução direta de código não verificado em um ambiente de produção.