Hệ sinh thái Solana xuất hiện robot độc hại mới: Hồ sơ ẩn chứa bẫy đánh cắp khóa riêng
Gần đây, đội ngũ bảo mật đã phát hiện nhiều trường hợp bị đánh cắp tài sản tiền điện tử do sử dụng các dự án công cụ Solana mã nguồn mở được lưu trữ trên GitHub. Trong trường hợp mới nhất, người dùng bị hại đã sử dụng dự án mã nguồn mở có tên là pumpfun-pumpswap-sniper-copy-trading-bot, kết quả đã kích hoạt cơ chế đánh cắp tiền ẩn bên trong.
Qua phân tích, mã tấn công cốt lõi của dự án độc hại này nằm trong tệp cấu hình src/common/config.rs, chủ yếu tập trung vào phương thức create_coingecko_proxy(). Phương thức này gọi import_wallet() và import_env_var() để lấy thông tin khóa riêng của người dùng.
Cụ thể, phương pháp import_env_var() sẽ đọc thông tin nhạy cảm như PRIVATE_KEY được lưu trữ trong tệp .env. Sau đó, mã độc sẽ thực hiện kiểm tra độ dài và chuyển đổi định dạng cho khóa riêng đã lấy được, và sử dụng Arc để đóng gói đa luồng.
Tiếp theo, phương pháp create_coingecko_proxy() sẽ giải mã các địa chỉ URL độc hại đã được thiết lập. Địa chỉ URL này hướng đến máy chủ do kẻ tấn công kiểm soát, cụ thể là:
Mã độc sau đó sẽ xây dựng một thân JSON yêu cầu chứa khóa riêng, gửi dữ liệu đến máy chủ đó qua yêu cầu POST. Để che giấu hành vi độc hại, phương pháp này còn bao gồm các chức năng bình thường như lấy giá cả.
Cần lưu ý rằng dự án độc hại này đã được cập nhật gần đây vào ngày 17 tháng 7 năm 2025 trên GitHub, chủ yếu sửa đổi mã hóa địa chỉ máy chủ tấn công HELIUS_PROXY trong tệp config.rs. Sau khi giải mã, địa chỉ máy chủ gốc có thể được xác định là:
Ngoài ra, đội ngũ an ninh còn phát hiện nhiều kho GitHub sử dụng phương pháp tương tự, như Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust, v.v.
Tổng thể mà nói, loại tấn công này thông qua việc giả mạo các dự án mã nguồn mở hợp pháp để lừa đảo người dùng. Khi người dùng thực thi mã độc, khóa riêng của họ sẽ bị đánh cắp và truyền đến máy chủ của kẻ tấn công. Do đó, các nhà phát triển và người dùng cần phải cảnh giác khi sử dụng các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là trong các trường hợp liên quan đến ví hoặc thao tác khóa riêng. Đề nghị thực hiện kiểm tra trong môi trường cách ly, tránh thực thi mã chưa được xác minh trực tiếp trong môi trường chính thức.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Bots độc hại mới trong hệ sinh thái Solana: Dự án GitHub ẩn chứa cạm bẫy đánh cắp khóa riêng
Hệ sinh thái Solana xuất hiện robot độc hại mới: Hồ sơ ẩn chứa bẫy đánh cắp khóa riêng
Gần đây, đội ngũ bảo mật đã phát hiện nhiều trường hợp bị đánh cắp tài sản tiền điện tử do sử dụng các dự án công cụ Solana mã nguồn mở được lưu trữ trên GitHub. Trong trường hợp mới nhất, người dùng bị hại đã sử dụng dự án mã nguồn mở có tên là pumpfun-pumpswap-sniper-copy-trading-bot, kết quả đã kích hoạt cơ chế đánh cắp tiền ẩn bên trong.
Qua phân tích, mã tấn công cốt lõi của dự án độc hại này nằm trong tệp cấu hình src/common/config.rs, chủ yếu tập trung vào phương thức create_coingecko_proxy(). Phương thức này gọi import_wallet() và import_env_var() để lấy thông tin khóa riêng của người dùng.
Cụ thể, phương pháp import_env_var() sẽ đọc thông tin nhạy cảm như PRIVATE_KEY được lưu trữ trong tệp .env. Sau đó, mã độc sẽ thực hiện kiểm tra độ dài và chuyển đổi định dạng cho khóa riêng đã lấy được, và sử dụng Arc để đóng gói đa luồng.
Tiếp theo, phương pháp create_coingecko_proxy() sẽ giải mã các địa chỉ URL độc hại đã được thiết lập. Địa chỉ URL này hướng đến máy chủ do kẻ tấn công kiểm soát, cụ thể là:
Mã độc sau đó sẽ xây dựng một thân JSON yêu cầu chứa khóa riêng, gửi dữ liệu đến máy chủ đó qua yêu cầu POST. Để che giấu hành vi độc hại, phương pháp này còn bao gồm các chức năng bình thường như lấy giá cả.
Cần lưu ý rằng dự án độc hại này đã được cập nhật gần đây vào ngày 17 tháng 7 năm 2025 trên GitHub, chủ yếu sửa đổi mã hóa địa chỉ máy chủ tấn công HELIUS_PROXY trong tệp config.rs. Sau khi giải mã, địa chỉ máy chủ gốc có thể được xác định là:
Ngoài ra, đội ngũ an ninh còn phát hiện nhiều kho GitHub sử dụng phương pháp tương tự, như Solana-MEV-Bot-Optimized, solana-copytrading-bot-rust, v.v.
Tổng thể mà nói, loại tấn công này thông qua việc giả mạo các dự án mã nguồn mở hợp pháp để lừa đảo người dùng. Khi người dùng thực thi mã độc, khóa riêng của họ sẽ bị đánh cắp và truyền đến máy chủ của kẻ tấn công. Do đó, các nhà phát triển và người dùng cần phải cảnh giác khi sử dụng các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là trong các trường hợp liên quan đến ví hoặc thao tác khóa riêng. Đề nghị thực hiện kiểm tra trong môi trường cách ly, tránh thực thi mã chưa được xác minh trực tiếp trong môi trường chính thức.