Solana ecossistema novamente apresenta Bots maliciosos: arquivo de configuração oculta Chave privada de roubo
No início de julho de 2025, um usuário procurou a equipe de segurança, afirmando que seus ativos criptográficos foram roubados. A investigação revelou que o incidente se originou do uso por parte do usuário de um projeto de código aberto hospedado no GitHub, que acionou um comportamento oculto de roubo de moedas. Recentemente, outro usuário teve seus ativos roubados devido ao uso de projetos de código aberto semelhantes. A equipe de segurança conduziu uma análise aprofundada sobre o caso.
Análise estática
A análise revelou que o código suspeito está localizado no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método primeiro chama import_wallet() para obter a Chave privada e, em seguida, verifica o comprimento da Chave privada:
Se for menor que 85, imprima uma mensagem de erro e entre em um loop infinito
Se maior que 85, converta a chave privada em um objeto Keypair e encapsule.
Em seguida, o código malicioso decodifica um endereço URL codificado, obtendo o endereço real:
Código cria um cliente HTTP, converte a chave privada em uma string Base58, constrói o corpo do pedido JSON e envia a chave privada para essa URL através de uma requisição POST. Independentemente do resultado retornado pelo servidor, o código malicioso continuará a ser executado para evitar ser detectado.
O método create_coingecko_proxy() também inclui funções normais, como obter preços, para ocultar comportamentos maliciosos. Este método é chamado na inicialização do aplicativo, durante a fase de inicialização do arquivo de configuração em main.rs.
Análise mostra que o IP do servidor do atacante está localizado nos Estados Unidos. O projeto foi atualizado recentemente em (2025 de julho de 2023, alterando principalmente a codificação de URLs maliciosas no config.rs.
![Ecossistema Solana apresenta novamente Bots maliciosos: perfil de configuração esconde armadilha de vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
Análise dinâmica
Para observar de forma intuitiva o processo de roubo, os pesquisadores escreveram um script para gerar pares de chaves Solana para teste e montaram um servidor HTTP para receber solicitações POST. O endereço do servidor de teste foi codificado para substituir o endereço malicioso original, e a chave privada de teste foi substituída no arquivo .env onde se encontra a PRIVATE_KEY.
![Maliciosos Bots reaparecem no ecossistema Solana: perfis ocultam armadilhas para vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
Após a ativação do código malicioso, o servidor de teste recebeu com sucesso os dados JSON contendo informações da chave privada.
![A ecologia Solana apresenta novamente Bots maliciosos: o perfil contém uma armadilha para a divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Resumo
Os atacantes induzem os usuários a executar código malicioso disfarçando-se de projetos de código aberto legítimos. O código lê informações sensíveis do local e as transfere para o servidor do atacante. Esse tipo de ataque é frequentemente combinado com técnicas de engenharia social.
Recomenda-se que os desenvolvedores e usuários mantenham-se alertas em relação a projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se precisar depurar, deve fazê-lo em um ambiente isolado, evitando executar programas e comandos de origem desconhecida.
![A ecologia Solana novamente apresenta Bots maliciosos: o perfil esconde uma armadilha de transmissão da Chave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
4
Repostar
Compartilhar
Comentário
0/400
DaoDeveloper
· 07-28 10:34
vou auditar cada commit de código aberto como um falcão depois disso... já passei por isso, perdi 3 sol devido a uma exploração semelhante no mês passado
Ver originalResponder0
DevChive
· 07-25 19:31
Hehe, o lugar da morte
Ver originalResponder0
LucidSleepwalker
· 07-25 19:30
mais uma bagunça, o sol está bem frio
Ver originalResponder0
failed_dev_successful_ape
· 07-25 19:22
Já disse que o tapete é muito, escapuliu, escapuliu.
A ecologia da Solana revela novamente ameaças ocultas: código de roubo de chave privada escondido em projetos do GitHub
Solana ecossistema novamente apresenta Bots maliciosos: arquivo de configuração oculta Chave privada de roubo
No início de julho de 2025, um usuário procurou a equipe de segurança, afirmando que seus ativos criptográficos foram roubados. A investigação revelou que o incidente se originou do uso por parte do usuário de um projeto de código aberto hospedado no GitHub, que acionou um comportamento oculto de roubo de moedas. Recentemente, outro usuário teve seus ativos roubados devido ao uso de projetos de código aberto semelhantes. A equipe de segurança conduziu uma análise aprofundada sobre o caso.
Análise estática
A análise revelou que o código suspeito está localizado no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método primeiro chama import_wallet() para obter a Chave privada e, em seguida, verifica o comprimento da Chave privada:
Em seguida, o código malicioso decodifica um endereço URL codificado, obtendo o endereço real:
Código cria um cliente HTTP, converte a chave privada em uma string Base58, constrói o corpo do pedido JSON e envia a chave privada para essa URL através de uma requisição POST. Independentemente do resultado retornado pelo servidor, o código malicioso continuará a ser executado para evitar ser detectado.
O método create_coingecko_proxy() também inclui funções normais, como obter preços, para ocultar comportamentos maliciosos. Este método é chamado na inicialização do aplicativo, durante a fase de inicialização do arquivo de configuração em main.rs.
Análise mostra que o IP do servidor do atacante está localizado nos Estados Unidos. O projeto foi atualizado recentemente em (2025 de julho de 2023, alterando principalmente a codificação de URLs maliciosas no config.rs.
![Ecossistema Solana apresenta novamente Bots maliciosos: perfil de configuração esconde armadilha de vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
Análise dinâmica
Para observar de forma intuitiva o processo de roubo, os pesquisadores escreveram um script para gerar pares de chaves Solana para teste e montaram um servidor HTTP para receber solicitações POST. O endereço do servidor de teste foi codificado para substituir o endereço malicioso original, e a chave privada de teste foi substituída no arquivo .env onde se encontra a PRIVATE_KEY.
![Maliciosos Bots reaparecem no ecossistema Solana: perfis ocultam armadilhas para vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
Após a ativação do código malicioso, o servidor de teste recebeu com sucesso os dados JSON contendo informações da chave privada.
![A ecologia Solana apresenta novamente Bots maliciosos: o perfil contém uma armadilha para a divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
Resumo
Os atacantes induzem os usuários a executar código malicioso disfarçando-se de projetos de código aberto legítimos. O código lê informações sensíveis do local e as transfere para o servidor do atacante. Esse tipo de ataque é frequentemente combinado com técnicas de engenharia social.
Recomenda-se que os desenvolvedores e usuários mantenham-se alertas em relação a projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se precisar depurar, deve fazê-lo em um ambiente isolado, evitando executar programas e comandos de origem desconhecida.
![A ecologia Solana novamente apresenta Bots maliciosos: o perfil esconde uma armadilha de transmissão da Chave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(