Solana生态出现新型恶意机器人:配置文件暗藏私钥盗取陷阱

近期,安全团队接连发现多起因使用托管在GitHub上的开源Solana工具项目而导致加密资产被盗的案例。最新案例中,受害用户使用了名为pumpfun-pumpswap-sniper-copy-trading-bot的开源项目,结果触发了隐藏其中的盗币机制。

经分析,该恶意项目的核心攻击代码位于src/common/config.rs配置文件中,主要集中在create_coingecko_proxy()方法内。该方法通过调用import_wallet()和import_env_var()来获取用户的私钥信息。

具体来说,import_env_var()方法会读取.env文件中存储的PRIVATE_KEY等敏感信息。随后,恶意代码会对获取到的私钥进行长度校验和格式转换,并使用Arc进行多线程封装。

接下来,create_coingecko_proxy()方法会对预设的恶意URL地址进行解码。该URL指向攻击者控制的服务器,具体为:

恶意代码随后会构造包含私钥的JSON请求体,通过POST请求将数据发送至该服务器。为了掩盖恶意行为,该方法还包含了获取价格等正常功能。

值得注意的是,该恶意项目近期(2025年7月17日)在GitHub上进行了更新,主要修改了config.rs文件中的HELIUS_PROXY(攻击者服务器地址)编码。解码后可得到原服务器地址为:

此外,安全团队还发现多个采用类似手法的GitHub仓库,如Solana-MEV-Bot-Optimized、solana-copytrading-bot-rust等。

总的来说,这类攻击通过伪装成合法开源项目来诱骗用户。一旦用户执行恶意代码,其私钥就会被盗取并传输至攻击者服务器。因此,开发者和用户在使用来源不明的GitHub项目时务必保持警惕,特别是涉及钱包或私钥操作的情况。建议在隔离环境中进行测试,避免直接在正式环境中执行未经验证的代码。