У екосистемі Solana з'явилися нові шкідливі боти: профілі приховують пастки для крадіжки закритих ключів
Нещодавно команда безпеки виявила кілька випадків крадіжки криптоактивів, пов'язаних із використанням інструментів з відкритим кодом Solana, що розміщені на GitHub. У останньому випадку, постраждалий користувач скористався відкритим проектом під назвою pumpfun-pumpswap-sniper-copy-trading-bot, в результаті чого спрацював прихований механізм крадіжки.
Після аналізу, основний код атаки цього шкідливого проєкту розташований у файлі конфігурації src/common/config.rs, в основному зосереджений у методі create_coingecko_proxy(). Цей метод отримує інформацію про закритий ключ користувача, викликаючи import_wallet() та import_env_var().
Конкретно, метод import_env_var() зчитує чутливу інформацію, таку як Закритий ключ, що зберігається в файлі .env. Після цього шкідливий код проводить перевірку довжини та перетворення формату отриманого закритого ключа, а також використовує Arc для багатопотокового обгортання.
Далі, метод create_coingecko_proxy() декодує заздалегідь встановлену шкідливу URL-адресу. Ця URL-адреса вказує на сервер, контрольований зловмисником, а саме:
Зловмисний код потім створює JSON запит з закритим ключем, відправляючи дані на цей сервер через POST запит. Щоб приховати зловмисну діяльність, цей метод також включає нормальні функції, такі як отримання цін.
Варто зазначити, що цей шкідливий проєкт нещодавно (2025 року 17 липня ) оновився на GitHub, основні зміни стосувалися кодування адреси сервера зловмисника HELIUS_PROXY( у файлі config.rs. Після декодування можна отримати початкову адресу сервера:
![Зловмисні боти знову з'являються в екосистемі Solana: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
Крім того, команда безпеки також виявила кілька репозиторіїв GitHub, які використовують подібні методи, таких як Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust тощо.
![Екосистема Solana знову піддається атакам зловмисних ботів: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
Загалом, такі атаки вводять користувачів в оману, маскуючись під легітимні проекти з відкритим кодом. Як тільки користувач виконує шкідливий код, його Закритий ключ буде вкрадено та передано на сервери зловмисника. Тому розробникам і користувачам слід бути особливо обережними при використанні проектів на GitHub з невідомим походженням, особливо коли йдеться про гаманці або операції з Закритими ключами. Рекомендується проводити тестування в ізольованому середовищі, щоб уникнути безпосереднього виконання неперевіреного коду в офіційному середовищі.
![Solana екосистема знову під загрозою зловмисних ботів: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Нові шкідливі боти в екосистемі Solana: проєкт на GitHub приховує пастку для викрадення закритих ключів
У екосистемі Solana з'явилися нові шкідливі боти: профілі приховують пастки для крадіжки закритих ключів
Нещодавно команда безпеки виявила кілька випадків крадіжки криптоактивів, пов'язаних із використанням інструментів з відкритим кодом Solana, що розміщені на GitHub. У останньому випадку, постраждалий користувач скористався відкритим проектом під назвою pumpfun-pumpswap-sniper-copy-trading-bot, в результаті чого спрацював прихований механізм крадіжки.
Після аналізу, основний код атаки цього шкідливого проєкту розташований у файлі конфігурації src/common/config.rs, в основному зосереджений у методі create_coingecko_proxy(). Цей метод отримує інформацію про закритий ключ користувача, викликаючи import_wallet() та import_env_var().
Конкретно, метод import_env_var() зчитує чутливу інформацію, таку як Закритий ключ, що зберігається в файлі .env. Після цього шкідливий код проводить перевірку довжини та перетворення формату отриманого закритого ключа, а також використовує Arc для багатопотокового обгортання.
Далі, метод create_coingecko_proxy() декодує заздалегідь встановлену шкідливу URL-адресу. Ця URL-адреса вказує на сервер, контрольований зловмисником, а саме:
Зловмисний код потім створює JSON запит з закритим ключем, відправляючи дані на цей сервер через POST запит. Щоб приховати зловмисну діяльність, цей метод також включає нормальні функції, такі як отримання цін.
Варто зазначити, що цей шкідливий проєкт нещодавно (2025 року 17 липня ) оновився на GitHub, основні зміни стосувалися кодування адреси сервера зловмисника HELIUS_PROXY( у файлі config.rs. Після декодування можна отримати початкову адресу сервера:
![Зловмисні боти знову з'являються в екосистемі Solana: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
Крім того, команда безпеки також виявила кілька репозиторіїв GitHub, які використовують подібні методи, таких як Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust тощо.
![Екосистема Solana знову піддається атакам зловмисних ботів: профіль приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
Загалом, такі атаки вводять користувачів в оману, маскуючись під легітимні проекти з відкритим кодом. Як тільки користувач виконує шкідливий код, його Закритий ключ буде вкрадено та передано на сервери зловмисника. Тому розробникам і користувачам слід бути особливо обережними при використанні проектів на GitHub з невідомим походженням, особливо коли йдеться про гаманці або операції з Закритими ключами. Рекомендується проводити тестування в ізольованому середовищі, щоб уникнути безпосереднього виконання неперевіреного коду в офіційному середовищі.
![Solana екосистема знову під загрозою зловмисних ботів: конфігураційний файл приховує пастку для витоку закритого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(