L'écosystème Solana fait face à des bots malveillants : le fichier de configuration cache des clés privées volées
Début juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés. L'enquête a révélé que l'incident provenait de l'utilisation par cet utilisateur d'un projet open source hébergé sur GitHub, déclenchant un comportement caché de vol de cryptomonnaie. Récemment, d'autres utilisateurs ont également vu leurs actifs volés en raison de l'utilisation de projets open source similaires. L'équipe de sécurité a entrepris une analyse approfondie à ce sujet.
Analyse statique
L'analyse a révélé que le code suspect se trouve dans le fichier de configuration /src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet() pour obtenir la clé privée, puis vérifie la longueur de la clé privée :
Si inférieur à 85, imprimez un message d'erreur et entrez dans une boucle infinie
Si supérieur à 85, convertir la clé privée en objet Keypair et encapsuler.
Ensuite, le code malveillant décode une adresse URL codée en dur, obtenant l'adresse réelle :
Le code crée un client HTTP, convertit la clé privée en chaîne Base58, construit le corps de la requête JSON, et envoie la clé privée à cette URL via une requête POST. Peu importe le résultat renvoyé par le serveur, le code malveillant continuera à s'exécuter pour éviter d'être détecté.
La méthode create_coingecko_proxy() inclut également des fonctionnalités normales telles que l'obtention des prix pour dissimuler des comportements malveillants. Cette méthode est appelée lors du démarrage de l'application, pendant la phase d'initialisation du fichier de configuration dans main.rs.
L'analyse montre que l'adresse IP du serveur de l'attaquant est située aux États-Unis. Le projet a été mis à jour récemment le 17 juillet 2025, principalement en modifiant l'encodage des URL malveillantes dans le fichier config.rs.
Analyse dynamique
Pour observer visuellement le processus de vol, les chercheurs ont écrit un script pour générer des paires de clés Solana à des fins de test et ont mis en place un serveur HTTP pour recevoir les requêtes POST. L'adresse du serveur de test a été codée pour remplacer l'ancienne adresse malveillante, et la clé privée de test a été remplacée dans le fichier .env par PRIVATE_KEY.
Après le lancement du code malveillant, le serveur de test a réussi à recevoir des données JSON contenant des informations sur la Clé privée.
Résumé
L'attaquant induit les utilisateurs à exécuter du code malveillant en se faisant passer pour un projet open source légitime. Le code lit des informations sensibles localement et les transmet au serveur de l'attaquant. Ce type d'attaque est souvent combiné avec des techniques d'ingénierie sociale.
Il est conseillé aux développeurs de rester vigilants face aux projets GitHub d'origine inconnue, surtout lorsqu'il s'agit d'opérations sur des portefeuilles ou des clés privées. En cas de débogage, cela doit être fait dans un environnement isolé, en évitant d'exécuter des programmes et des commandes d'origine inconnue.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
4
Reposter
Partager
Commentaire
0/400
DaoDeveloper
· 07-28 10:34
je vais auditer chaque commit open source comme un faucon après ça... j'y ai été, j'ai perdu 3 sol à un exploit similaire le mois dernier
Voir l'originalRépondre0
DevChive
· 07-25 19:31
Hehe, le cimetière de Si Suo Long
Voir l'originalRépondre0
LucidSleepwalker
· 07-25 19:30
encore un bazar de sol complètement frais
Voir l'originalRépondre0
failed_dev_successful_ape
· 07-25 19:22
J'ai déjà dit qu'il y avait trop de tapis, je m'en vais.
La menace cachée réapparaît dans l'écosystème Solana : le projet GitHub cache du code de vol de clé privée.
L'écosystème Solana fait face à des bots malveillants : le fichier de configuration cache des clés privées volées
Début juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés. L'enquête a révélé que l'incident provenait de l'utilisation par cet utilisateur d'un projet open source hébergé sur GitHub, déclenchant un comportement caché de vol de cryptomonnaie. Récemment, d'autres utilisateurs ont également vu leurs actifs volés en raison de l'utilisation de projets open source similaires. L'équipe de sécurité a entrepris une analyse approfondie à ce sujet.
Analyse statique
L'analyse a révélé que le code suspect se trouve dans le fichier de configuration /src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet() pour obtenir la clé privée, puis vérifie la longueur de la clé privée :
Ensuite, le code malveillant décode une adresse URL codée en dur, obtenant l'adresse réelle :
Le code crée un client HTTP, convertit la clé privée en chaîne Base58, construit le corps de la requête JSON, et envoie la clé privée à cette URL via une requête POST. Peu importe le résultat renvoyé par le serveur, le code malveillant continuera à s'exécuter pour éviter d'être détecté.
La méthode create_coingecko_proxy() inclut également des fonctionnalités normales telles que l'obtention des prix pour dissimuler des comportements malveillants. Cette méthode est appelée lors du démarrage de l'application, pendant la phase d'initialisation du fichier de configuration dans main.rs.
L'analyse montre que l'adresse IP du serveur de l'attaquant est située aux États-Unis. Le projet a été mis à jour récemment le 17 juillet 2025, principalement en modifiant l'encodage des URL malveillantes dans le fichier config.rs.
Analyse dynamique
Pour observer visuellement le processus de vol, les chercheurs ont écrit un script pour générer des paires de clés Solana à des fins de test et ont mis en place un serveur HTTP pour recevoir les requêtes POST. L'adresse du serveur de test a été codée pour remplacer l'ancienne adresse malveillante, et la clé privée de test a été remplacée dans le fichier .env par PRIVATE_KEY.
Après le lancement du code malveillant, le serveur de test a réussi à recevoir des données JSON contenant des informations sur la Clé privée.
Résumé
L'attaquant induit les utilisateurs à exécuter du code malveillant en se faisant passer pour un projet open source légitime. Le code lit des informations sensibles localement et les transmet au serveur de l'attaquant. Ce type d'attaque est souvent combiné avec des techniques d'ingénierie sociale.
Il est conseillé aux développeurs de rester vigilants face aux projets GitHub d'origine inconnue, surtout lorsqu'il s'agit d'opérations sur des portefeuilles ou des clés privées. En cas de débogage, cela doit être fait dans un environnement isolé, en évitant d'exécuter des programmes et des commandes d'origine inconnue.