Se presenta un ataque de bots maliciosos en el ecosistema de Solana: el archivo de configuración oculta el robo de llaves privadas
A principios de julio de 2025, un usuario solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos habían sido robados. La investigación reveló que el incidente se originó porque el usuario utilizó un proyecto de código abierto alojado en GitHub, lo que activó un comportamiento oculto de robo de monedas. Recientemente, otro usuario también perdió sus activos debido al uso de un proyecto de código abierto similar. El equipo de seguridad realizó un análisis exhaustivo al respecto.
Análisis estático
El análisis revela que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la llave privada, y luego verifica la longitud de la llave privada:
Si es menor que 85, imprime un mensaje de error y entra en un bucle infinito
Si es mayor que 85, convierte la llave privada en un objeto Keypair y envuélvelo.
Luego, el código malicioso decodifica una URL codificada, obteniendo la dirección real:
Código para crear un cliente HTTP, convertir la llave privada en una cadena Base58, construir el cuerpo de la solicitud JSON y enviar la llave privada a esa URL mediante una solicitud POST. Independientemente de los resultados que devuelva el servidor, el código malicioso seguirá ejecutándose para evitar ser detectado.
El método create_coingecko_proxy() también incluye funciones normales como obtener precios para encubrir comportamientos maliciosos. Este método se llama al inicio de la aplicación, durante la fase de inicialización del archivo de configuración en main.rs.
El análisis muestra que la IP del servidor del atacante está ubicada en Estados Unidos. El proyecto fue actualizado recientemente el 17 de julio de 2025, principalmente cambiando la codificación de URL maliciosa en config.rs.
Análisis dinámico
Para observar de manera intuitiva el proceso de robo, los investigadores escribieron un script para generar un par de claves de Solana para pruebas y configuraron un servidor HTTP para recibir solicitudes POST. Se reemplazó la dirección del servidor de prueba codificada por la dirección maliciosa original, y se reemplazó la llave privada en el archivo .env por la llave privada de prueba.
Después de iniciar el código malicioso, el servidor de pruebas recibió con éxito datos JSON que contienen información de la Llave privada.
Resumen
Los atacantes inducen a los usuarios a ejecutar código malicioso disfrazándose de proyectos de código abierto legítimos. El código lee información sensible desde el local y la transmite a los servidores del atacante. Este tipo de ataques a menudo se lleva a cabo combinando técnicas de ingeniería social.
Se recomienda a los desarrolladores y usuarios que mantengan la vigilancia sobre proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones con billeteras o Llave privada. Si es necesario depurar, debe hacerse en un entorno aislado, evitando ejecutar programas y comandos de origen desconocido.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
4
Republicar
Compartir
Comentar
0/400
DaoDeveloper
· 07-28 10:34
voy a auditar cada compromiso de código abierto como un halcón después de esto... he estado allí, perdí 3 sol debido a un exploit similar el mes pasado
Ver originalesResponder0
DevChive
· 07-25 19:31
Jejeje, el lugar de la muerte
Ver originalesResponder0
LucidSleepwalker
· 07-25 19:30
Otra vez un lío, el sol está helado.
Ver originalesResponder0
failed_dev_successful_ape
· 07-25 19:22
Ya dije que había demasiada alfombra, me escabullí.
Amenaza oculta en el ecosistema de Solana: el proyecto de GitHub esconde código para robar llaves privadas.
Se presenta un ataque de bots maliciosos en el ecosistema de Solana: el archivo de configuración oculta el robo de llaves privadas
A principios de julio de 2025, un usuario solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos habían sido robados. La investigación reveló que el incidente se originó porque el usuario utilizó un proyecto de código abierto alojado en GitHub, lo que activó un comportamiento oculto de robo de monedas. Recientemente, otro usuario también perdió sus activos debido al uso de un proyecto de código abierto similar. El equipo de seguridad realizó un análisis exhaustivo al respecto.
Análisis estático
El análisis revela que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la llave privada, y luego verifica la longitud de la llave privada:
Luego, el código malicioso decodifica una URL codificada, obteniendo la dirección real:
Código para crear un cliente HTTP, convertir la llave privada en una cadena Base58, construir el cuerpo de la solicitud JSON y enviar la llave privada a esa URL mediante una solicitud POST. Independientemente de los resultados que devuelva el servidor, el código malicioso seguirá ejecutándose para evitar ser detectado.
El método create_coingecko_proxy() también incluye funciones normales como obtener precios para encubrir comportamientos maliciosos. Este método se llama al inicio de la aplicación, durante la fase de inicialización del archivo de configuración en main.rs.
El análisis muestra que la IP del servidor del atacante está ubicada en Estados Unidos. El proyecto fue actualizado recientemente el 17 de julio de 2025, principalmente cambiando la codificación de URL maliciosa en config.rs.
Análisis dinámico
Para observar de manera intuitiva el proceso de robo, los investigadores escribieron un script para generar un par de claves de Solana para pruebas y configuraron un servidor HTTP para recibir solicitudes POST. Se reemplazó la dirección del servidor de prueba codificada por la dirección maliciosa original, y se reemplazó la llave privada en el archivo .env por la llave privada de prueba.
Después de iniciar el código malicioso, el servidor de pruebas recibió con éxito datos JSON que contienen información de la Llave privada.
Resumen
Los atacantes inducen a los usuarios a ejecutar código malicioso disfrazándose de proyectos de código abierto legítimos. El código lee información sensible desde el local y la transmite a los servidores del atacante. Este tipo de ataques a menudo se lleva a cabo combinando técnicas de ingeniería social.
Se recomienda a los desarrolladores y usuarios que mantengan la vigilancia sobre proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones con billeteras o Llave privada. Si es necesario depurar, debe hacerse en un entorno aislado, evitando ejecutar programas y comandos de origen desconocido.