Pada awal Juli 2025, seorang pengguna meminta bantuan tim keamanan, mengklaim bahwa aset kriptonya telah dicuri. Investigasi menemukan bahwa kejadian tersebut berasal dari penggunaan proyek sumber terbuka yang dihosting di GitHub oleh pengguna tersebut, yang memicu tindakan pencurian tersembunyi. Baru-baru ini, ada pengguna lain yang mengalami pencurian aset akibat menggunakan proyek sumber terbuka serupa. Tim keamanan melakukan analisis mendalam terkait hal ini.
Analisis Statis
Analisis menemukan, kode mencurigakan terletak di file konfigurasi /src/common/config.rs, terutama terkonsentrasi dalam metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet() untuk mendapatkan Kunci Pribadi, kemudian melakukan pemeriksaan panjang Kunci Pribadi:
Jika kurang dari 85, cetak pesan kesalahan dan terjebak dalam loop tak terbatas
Jika lebih besar dari 85, ubah Kunci Pribadi menjadi objek Keypair dan bungkus
Kemudian, kode jahat mendekode alamat URL yang terhardcode, mendapatkan alamat asli:
Kode membuat klien HTTP, mengonversi Kunci Pribadi menjadi string Base58, membangun tubuh permintaan JSON, dan mengirimkan Kunci Pribadi ke URL tersebut melalui permintaan POST. Apa pun hasil yang dikembalikan oleh server, kode jahat akan terus berjalan untuk menghindari terdeteksi.
create_coingecko_proxy() metode juga mencakup fungsi normal seperti mendapatkan harga untuk menyembunyikan perilaku jahat. Metode ini dipanggil saat aplikasi dimulai, terletak di tahap inisialisasi file konfigurasi main.rs.
Analisis menunjukkan, IP server penyerang terletak di Amerika Serikat. Proyek telah diperbarui pada 17 Juli 2025, terutama mengubah pengkodean URL jahat di config.rs.
Analisis Dinamis
Untuk mengamati proses pencurian secara intuitif, peneliti menulis skrip untuk menghasilkan pasangan kunci Solana untuk pengujian, dan membangun server HTTP untuk menerima permintaan POST. Mengganti alamat server pengujian yang dikodekan dengan alamat jahat asli, dan mengganti kunci pribadi di file .env dengan kunci pribadi pengujian.
Setelah kode jahat diaktifkan, server pengujian berhasil menerima data JSON yang berisi informasi Kunci Pribadi.
Ringkasan
Penyerang menyamar sebagai proyek sumber terbuka yang sah untuk mendorong pengguna menjalankan kode jahat. Kode tersebut membaca informasi sensitif dari lokal dan mengirimkannya ke server penyerang. Serangan semacam ini sering dilakukan dengan menggabungkan teknik rekayasa sosial.
Disarankan kepada pengembang dan pengguna untuk tetap waspada terhadap proyek GitHub yang sumbernya tidak jelas, terutama yang melibatkan operasi dompet atau Kunci Pribadi. Jika perlu melakukan debugging, harus dilakukan di lingkungan terisolasi, hindari menjalankan program dan perintah yang sumbernya tidak jelas.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
4
Posting ulang
Bagikan
Komentar
0/400
DaoDeveloper
· 07-28 10:34
akan mengaudit setiap komit sumber terbuka seperti elang setelah ini... sudah pernah mengalami, kehilangan 3 sol akibat eksploitasi serupa bulan lalu
Ancaman tersembunyi muncul kembali di ekosistem Solana: Proyek GitHub menyimpan kode pencurian Kunci Pribadi
Ekosistem Solana Kembali Diterpa Bot Jahat: File Konfigurasi Menyimpan Pencurian Kunci Pribadi
Pada awal Juli 2025, seorang pengguna meminta bantuan tim keamanan, mengklaim bahwa aset kriptonya telah dicuri. Investigasi menemukan bahwa kejadian tersebut berasal dari penggunaan proyek sumber terbuka yang dihosting di GitHub oleh pengguna tersebut, yang memicu tindakan pencurian tersembunyi. Baru-baru ini, ada pengguna lain yang mengalami pencurian aset akibat menggunakan proyek sumber terbuka serupa. Tim keamanan melakukan analisis mendalam terkait hal ini.
Analisis Statis
Analisis menemukan, kode mencurigakan terletak di file konfigurasi /src/common/config.rs, terutama terkonsentrasi dalam metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet() untuk mendapatkan Kunci Pribadi, kemudian melakukan pemeriksaan panjang Kunci Pribadi:
Kemudian, kode jahat mendekode alamat URL yang terhardcode, mendapatkan alamat asli:
Kode membuat klien HTTP, mengonversi Kunci Pribadi menjadi string Base58, membangun tubuh permintaan JSON, dan mengirimkan Kunci Pribadi ke URL tersebut melalui permintaan POST. Apa pun hasil yang dikembalikan oleh server, kode jahat akan terus berjalan untuk menghindari terdeteksi.
create_coingecko_proxy() metode juga mencakup fungsi normal seperti mendapatkan harga untuk menyembunyikan perilaku jahat. Metode ini dipanggil saat aplikasi dimulai, terletak di tahap inisialisasi file konfigurasi main.rs.
Analisis menunjukkan, IP server penyerang terletak di Amerika Serikat. Proyek telah diperbarui pada 17 Juli 2025, terutama mengubah pengkodean URL jahat di config.rs.
Analisis Dinamis
Untuk mengamati proses pencurian secara intuitif, peneliti menulis skrip untuk menghasilkan pasangan kunci Solana untuk pengujian, dan membangun server HTTP untuk menerima permintaan POST. Mengganti alamat server pengujian yang dikodekan dengan alamat jahat asli, dan mengganti kunci pribadi di file .env dengan kunci pribadi pengujian.
Setelah kode jahat diaktifkan, server pengujian berhasil menerima data JSON yang berisi informasi Kunci Pribadi.
Ringkasan
Penyerang menyamar sebagai proyek sumber terbuka yang sah untuk mendorong pengguna menjalankan kode jahat. Kode tersebut membaca informasi sensitif dari lokal dan mengirimkannya ke server penyerang. Serangan semacam ini sering dilakukan dengan menggabungkan teknik rekayasa sosial.
Disarankan kepada pengembang dan pengguna untuk tetap waspada terhadap proyek GitHub yang sumbernya tidak jelas, terutama yang melibatkan operasi dompet atau Kunci Pribadi. Jika perlu melakukan debugging, harus dilakukan di lingkungan terisolasi, hindari menjalankan program dan perintah yang sumbernya tidak jelas.