В экосистеме Solana появились новые вредоносные Боты: профили скрывают ловушки для кражи Закрытых ключей
В последнее время команда безопасности обнаружила несколько случаев кражи криптоактивов из-за использования открытых проектов инструментов Solana, размещенных на GitHub. В последнем случае пострадавший пользователь использовал открытый проект под названием pumpfun-pumpswap-sniper-copy-trading-bot, что привело к активации скрытого механизма кражи.
В результате анализа, основной атакующий код данного вредоносного проекта расположен в конфигурационном файле src/common/config.rs и сосредоточен в методе create_coingecko_proxy(). Этот метод получает информацию о закрытом ключе пользователя, вызывая import_wallet() и import_env_var().
Конкретно, метод import_env_var() будет считывать чувствительную информацию, такую как Закрытый ключ, хранящуюся в файле .env. Затем вредоносный код будет производить проверку длины и преобразование формата полученного закрытого ключа и использовать Arc для многопоточной упаковки.
Следующим шагом, метод create_coingecko_proxy() будет декодировать заранее заданные злонамеренные URL-адреса. Этот URL указывает на сервер, контролируемый злоумышленником, а именно:
Зловредный код затем создаст JSON тело запроса, содержащее закрытый ключ, и отправит данные на этот сервер с помощью POST-запроса. Чтобы скрыть злонамеренные действия, этот метод также включает получение цен и другие нормальные функции.
Стоит отметить, что этот вредоносный проект недавно обновился 17 июля 2025 года на GitHub, в основном изменив кодировку адреса сервера злоумышленника в файле config.rs с HELIUS_PROXY(. После декодирования можно получить оригинальный адрес сервера:
![В экосистеме Solana вновь появились злонамеренные боты: в профиле скрыты ловушки для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
Кроме того, команда безопасности также обнаружила несколько репозиториев на GitHub, использующих аналогичные методы, таких как Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust и др.
![Solana экосистема вновь подверглась атаке злонамеренных ботов: в профиле скрыта ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
В целом, такие атаки обманывают пользователей, маскируясь под законные проекты с открытым исходным кодом. Как только пользователь выполняет вредоносный код, его Закрытый ключ будет украден и передан на сервер злоумышленника. Поэтому разработчики и пользователи должны быть особенно осторожны при использовании проектов на GitHub, источники которых не ясны, особенно в случаях, связанных с операциями с кошельками или Закрытыми ключами. Рекомендуется проводить тестирование в изолированной среде, избегая выполнения непроверенного кода непосредственно в рабочей среде.
![В экосистеме Solana вновь появились злонамеренные боты: в конфигурационном файле скрыта ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Новые вредоносные боты в экосистеме Solana: проект на GitHub скрывает ловушку для кражи закрытого ключа
В экосистеме Solana появились новые вредоносные Боты: профили скрывают ловушки для кражи Закрытых ключей
В последнее время команда безопасности обнаружила несколько случаев кражи криптоактивов из-за использования открытых проектов инструментов Solana, размещенных на GitHub. В последнем случае пострадавший пользователь использовал открытый проект под названием pumpfun-pumpswap-sniper-copy-trading-bot, что привело к активации скрытого механизма кражи.
В результате анализа, основной атакующий код данного вредоносного проекта расположен в конфигурационном файле src/common/config.rs и сосредоточен в методе create_coingecko_proxy(). Этот метод получает информацию о закрытом ключе пользователя, вызывая import_wallet() и import_env_var().
Конкретно, метод import_env_var() будет считывать чувствительную информацию, такую как Закрытый ключ, хранящуюся в файле .env. Затем вредоносный код будет производить проверку длины и преобразование формата полученного закрытого ключа и использовать Arc для многопоточной упаковки.
Следующим шагом, метод create_coingecko_proxy() будет декодировать заранее заданные злонамеренные URL-адреса. Этот URL указывает на сервер, контролируемый злоумышленником, а именно:
Зловредный код затем создаст JSON тело запроса, содержащее закрытый ключ, и отправит данные на этот сервер с помощью POST-запроса. Чтобы скрыть злонамеренные действия, этот метод также включает получение цен и другие нормальные функции.
Стоит отметить, что этот вредоносный проект недавно обновился 17 июля 2025 года на GitHub, в основном изменив кодировку адреса сервера злоумышленника в файле config.rs с HELIUS_PROXY(. После декодирования можно получить оригинальный адрес сервера:
![В экосистеме Solana вновь появились злонамеренные боты: в профиле скрыты ловушки для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
Кроме того, команда безопасности также обнаружила несколько репозиториев на GitHub, использующих аналогичные методы, таких как Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust и др.
![Solana экосистема вновь подверглась атаке злонамеренных ботов: в профиле скрыта ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
В целом, такие атаки обманывают пользователей, маскируясь под законные проекты с открытым исходным кодом. Как только пользователь выполняет вредоносный код, его Закрытый ключ будет украден и передан на сервер злоумышленника. Поэтому разработчики и пользователи должны быть особенно осторожны при использовании проектов на GitHub, источники которых не ясны, особенно в случаях, связанных с операциями с кошельками или Закрытыми ключами. Рекомендуется проводить тестирование в изолированной среде, избегая выполнения непроверенного кода непосредственно в рабочей среде.
![В экосистеме Solana вновь появились злонамеренные боты: в конфигурационном файле скрыта ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(