Solana生態出現新型惡意機器人:配置文件暗藏私鑰盜取陷阱

近期,安全團隊接連發現多起因使用托管在GitHub上的開源Solana工具項目而導致加密資產被盜的案例。最新案例中,受害用戶使用了名爲pumpfun-pumpswap-sniper-copy-trading-bot的開源項目,結果觸發了隱藏其中的盜幣機制。

經分析,該惡意項目的核心攻擊代碼位於src/common/config.rs配置文件中,主要集中在create_coingecko_proxy()方法內。該方法通過調用import_wallet()和import_env_var()來獲取用戶的私鑰信息。

具體來說,import_env_var()方法會讀取.env文件中存儲的PRIVATE_KEY等敏感信息。隨後,惡意代碼會對獲取到的私鑰進行長度校驗和格式轉換,並使用Arc進行多線程封裝。

接下來,create_coingecko_proxy()方法會對預設的惡意URL地址進行解碼。該URL指向攻擊者控制的服務器,具體爲:

惡意代碼隨後會構造包含私鑰的JSON請求體,通過POST請求將數據發送至該服務器。爲了掩蓋惡意行爲,該方法還包含了獲取價格等正常功能。

值得注意的是,該惡意項目近期(2025年7月17日)在GitHub上進行了更新,主要修改了config.rs文件中的HELIUS_PROXY(攻擊者服務器地址)編碼。解碼後可得到原服務器地址爲:

此外,安全團隊還發現多個採用類似手法的GitHub倉庫,如Solana-MEV-Bot-Optimized、solana-copytrading-bot-rust等。

總的來說,這類攻擊通過僞裝成合法開源項目來誘騙用戶。一旦用戶執行惡意代碼,其私鑰就會被盜取並傳輸至攻擊者服務器。因此,開發者和用戶在使用來源不明的GitHub項目時務必保持警惕,特別是涉及錢包或私鑰操作的情況。建議在隔離環境中進行測試,避免直接在正式環境中執行未經驗證的代碼。