Solana ekosisteminde yeni bir kötü niyetli botlar ortaya çıktı: Profilde gizli özel anahtar çalma tuzağı
Son zamanlarda, güvenlik ekibi GitHub'da barındırılan açık kaynak Solana araç projelerini kullanmaktan kaynaklanan birçok kripto varlık hırsızlığı vakası tespit etti. En son vakada, mağdur kullanıcı pumpfun-pumpswap-sniper-copy-trading-bot adındaki açık kaynak projeyi kullandı ve sonuç olarak içindeki gizli hırsızlık mekanizmasını tetikledi.
Analiz sonucunda, bu kötü niyetli projenin temel saldırı kodunun src/common/config.rs yapılandırma dosyasında bulunduğu ve esas olarak create_coingecko_proxy() yönteminde yoğunlaştığı tespit edilmiştir. Bu yöntem, kullanıcının Özel Anahtar bilgilerini almak için import_wallet() ve import_env_var() çağrılarını yapmaktadır.
Özellikle, import_env_var() yöntemi .env dosyasında saklanan Özel Anahtar gibi hassas bilgileri okuyacaktır. Ardından, kötü niyetli kod alınan özel anahtar üzerinde uzunluk kontrolü ve format dönüştürmesi yapacak ve çoklu iş parçacığı sarmalaması için Arc kullanacaktır.
Sonraki, create_coingecko_proxy() yöntemi, önceden belirlenmiş kötü niyetli URL adreslerini çözümleyecektir. Bu URL, saldırganın kontrolündeki sunucuya işaret etmektedir, kesin olarak:
Kötü niyetli kod, ardından özel anahtar içeren bir JSON istek gövdesi oluşturacak ve verileri bu sunucuya POST isteği ile gönderecektir. Kötü niyetli davranışı gizlemek için, bu yöntem ayrıca fiyat alma gibi normal işlevleri de içermektedir.
Dikkate değer bir nokta, bu kötü niyetli projenin yakın zamanda (2025 yılının 7. ayının 17'sinde ) GitHub'da güncellenmesi, esas olarak config.rs dosyasındaki HELIUS_PROXY( saldırgan sunucu adresinin ) kodlamasında değişiklik yapmasıdır. Kod çözüldüğünde, orijinal sunucu adresi şudur:
Ayrıca, güvenlik ekibi Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust gibi benzer yöntemler kullanan birkaç GitHub deposu buldu.
Genel olarak, bu tür saldırılar, kullanıcıları meşru açık kaynak projeleri gibi davranarak kandırır. Kullanıcı kötü niyetli kodu çalıştırdığında, özel anahtarları çalınır ve saldırganın sunucusuna iletilir. Bu nedenle, geliştiricilerin ve kullanıcıların bilinmeyen kaynaklardan gelen GitHub projelerini kullanırken dikkatli olmaları kritik öneme sahiptir, özellikle cüzdan veya özel anahtar işlemleri ile ilgili durumlarda. Testlerin izole bir ortamda yapılması önerilir, doğrulanmamış kodların doğrudan resmi ortamda çalıştırılmasından kaçınılmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Solana ekosisteminde yeni bir kötü niyetli bot: GitHub projesinde özel anahtar çalma tuzağı gizli
Solana ekosisteminde yeni bir kötü niyetli botlar ortaya çıktı: Profilde gizli özel anahtar çalma tuzağı
Son zamanlarda, güvenlik ekibi GitHub'da barındırılan açık kaynak Solana araç projelerini kullanmaktan kaynaklanan birçok kripto varlık hırsızlığı vakası tespit etti. En son vakada, mağdur kullanıcı pumpfun-pumpswap-sniper-copy-trading-bot adındaki açık kaynak projeyi kullandı ve sonuç olarak içindeki gizli hırsızlık mekanizmasını tetikledi.
Analiz sonucunda, bu kötü niyetli projenin temel saldırı kodunun src/common/config.rs yapılandırma dosyasında bulunduğu ve esas olarak create_coingecko_proxy() yönteminde yoğunlaştığı tespit edilmiştir. Bu yöntem, kullanıcının Özel Anahtar bilgilerini almak için import_wallet() ve import_env_var() çağrılarını yapmaktadır.
Özellikle, import_env_var() yöntemi .env dosyasında saklanan Özel Anahtar gibi hassas bilgileri okuyacaktır. Ardından, kötü niyetli kod alınan özel anahtar üzerinde uzunluk kontrolü ve format dönüştürmesi yapacak ve çoklu iş parçacığı sarmalaması için Arc kullanacaktır.
Sonraki, create_coingecko_proxy() yöntemi, önceden belirlenmiş kötü niyetli URL adreslerini çözümleyecektir. Bu URL, saldırganın kontrolündeki sunucuya işaret etmektedir, kesin olarak:
Kötü niyetli kod, ardından özel anahtar içeren bir JSON istek gövdesi oluşturacak ve verileri bu sunucuya POST isteği ile gönderecektir. Kötü niyetli davranışı gizlemek için, bu yöntem ayrıca fiyat alma gibi normal işlevleri de içermektedir.
Dikkate değer bir nokta, bu kötü niyetli projenin yakın zamanda (2025 yılının 7. ayının 17'sinde ) GitHub'da güncellenmesi, esas olarak config.rs dosyasındaki HELIUS_PROXY( saldırgan sunucu adresinin ) kodlamasında değişiklik yapmasıdır. Kod çözüldüğünde, orijinal sunucu adresi şudur:
Ayrıca, güvenlik ekibi Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust gibi benzer yöntemler kullanan birkaç GitHub deposu buldu.
Genel olarak, bu tür saldırılar, kullanıcıları meşru açık kaynak projeleri gibi davranarak kandırır. Kullanıcı kötü niyetli kodu çalıştırdığında, özel anahtarları çalınır ve saldırganın sunucusuna iletilir. Bu nedenle, geliştiricilerin ve kullanıcıların bilinmeyen kaynaklardan gelen GitHub projelerini kullanırken dikkatli olmaları kritik öneme sahiptir, özellikle cüzdan veya özel anahtar işlemleri ile ilgili durumlarda. Testlerin izole bir ortamda yapılması önerilir, doğrulanmamış kodların doğrudan resmi ortamda çalıştırılmasından kaçınılmalıdır.