Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyasında özel anahtar çalma gizleniyor
2025 yılının Temmuz ayının başlarında, bir kullanıcı güvenlik ekibine başvurarak kripto varlıklarının çalındığını bildirdi. Yapılan araştırmalar, olayın kullanıcının GitHub'da barındırılan bir açık kaynak projesini kullanmasından kaynaklandığını ve gizli bir çalma eylemini tetiklediğini ortaya koydu. Son günlerde benzer açık kaynak projeleri kullanan başka kullanıcıların da varlıkları çalındı. Güvenlik ekibi bu durumu derinlemesine analiz etti.
Statik Analiz
Analizler, şüpheli kodun /src/common/config.rs yapılandırma dosyasında bulunduğunu ve bunun esas olarak create_coingecko_proxy() yönteminde yoğunlaştığını göstermektedir. Bu yöntem önce import_wallet() çağrısını yaparak Özel Anahtar alır, ardından Özel Anahtarın uzunluğunu kontrol eder:
85'ten küçükse, hata mesajını yazdır ve sonsuz döngüye gir.
85'ten büyükse, özel anahtarı Keypair nesnesine dönüştür ve kapsülle
Sonrasında, kötü niyetli kod bir hardcoded URL adresini çözüp gerçek adresi elde etti:
Kod, HTTP istemcisi oluşturur, özel anahtarı Base58 dizesine dönüştürür, JSON istek gövdesini yapılandırır ve özel anahtarı bu URL'ye göndermek için POST isteği yapar. Sunucu hangi sonucu dönerse dönsün, kötü niyetli kod fark edilmemek için çalışmaya devam edecektir.
create_coingecko_proxy() yöntemi, kötü niyetli davranışları gizlemek için fiyat alma gibi normal işlevleri de içerir. Bu yöntem, uygulama başlatıldığında çağrılır ve main.rs dosyasının yapılandırma dosyası başlatma aşamasında yer alır.
Analizler, saldırganın sunucu IP'sinin Amerika'da bulunduğunu gösteriyor. Proje, yakın zamanda (2025 yılının 17 Temmuz'unda ) güncellendi ve esas olarak config.rs'deki kötü niyetli URL kodlamasını değiştirdi.
Dinamik Analiz
Hırsızlık sürecini gözlemlemek için araştırmacılar, test amaçlı Solana anahtar çiftleri oluşturmak üzere bir betik yazdı ve POST isteklerini almak için bir HTTP sunucusu kurdu. Test sunucu adresini kodlayarak orijinal kötü niyetli adresle değiştirdi ve .env dosyasındaki PRIVATE_KEY'i test özel anahtarı ile değiştirdi.
Kötü niyetli kod başlatıldıktan sonra, test sunucusu özel anahtar bilgilerini içeren JSON verisini başarıyla aldı.
Özet
Saldırganlar, kullanıcıları kötü niyetli kodu çalıştırmaları için meşru açık kaynak projeleri kılığında kandırıyor. Kod, yerel olarak hassas bilgileri okur ve bunları saldırganın sunucusuna iletir. Bu tür saldırılar genellikle sosyal mühendislik yöntemleri ile birleştirilerek gerçekleştirilir.
Geliştiricilere, kaynağı belirsiz GitHub projelerine karşı dikkatli olmalarını, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda tavsiye ederim. Hata ayıklamak gerekiyorsa, bunu izole bir ortamda yapmalı ve kaynağı belirsiz programlar ve komutlar çalıştırmaktan kaçınmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 Likes
Reward
10
4
Repost
Share
Comment
0/400
DaoDeveloper
· 07-28 10:34
bunu yaptıktan sonra açık kaynak commit'lerini bir şahin gibi denetleyeceğim... oradaydım, geçen ay benzer bir istismardan 3 sol kaybettim
Solana ekosisteminde gizli tehditler yeniden ortaya çıkıyor: GitHub projesinde Özel Anahtar çalma kodu gizlenmiş.
Solana ekosisteminde kötü niyetli botlar: Konfigürasyon dosyasında özel anahtar çalma gizleniyor
2025 yılının Temmuz ayının başlarında, bir kullanıcı güvenlik ekibine başvurarak kripto varlıklarının çalındığını bildirdi. Yapılan araştırmalar, olayın kullanıcının GitHub'da barındırılan bir açık kaynak projesini kullanmasından kaynaklandığını ve gizli bir çalma eylemini tetiklediğini ortaya koydu. Son günlerde benzer açık kaynak projeleri kullanan başka kullanıcıların da varlıkları çalındı. Güvenlik ekibi bu durumu derinlemesine analiz etti.
Statik Analiz
Analizler, şüpheli kodun /src/common/config.rs yapılandırma dosyasında bulunduğunu ve bunun esas olarak create_coingecko_proxy() yönteminde yoğunlaştığını göstermektedir. Bu yöntem önce import_wallet() çağrısını yaparak Özel Anahtar alır, ardından Özel Anahtarın uzunluğunu kontrol eder:
Sonrasında, kötü niyetli kod bir hardcoded URL adresini çözüp gerçek adresi elde etti:
Kod, HTTP istemcisi oluşturur, özel anahtarı Base58 dizesine dönüştürür, JSON istek gövdesini yapılandırır ve özel anahtarı bu URL'ye göndermek için POST isteği yapar. Sunucu hangi sonucu dönerse dönsün, kötü niyetli kod fark edilmemek için çalışmaya devam edecektir.
create_coingecko_proxy() yöntemi, kötü niyetli davranışları gizlemek için fiyat alma gibi normal işlevleri de içerir. Bu yöntem, uygulama başlatıldığında çağrılır ve main.rs dosyasının yapılandırma dosyası başlatma aşamasında yer alır.
Analizler, saldırganın sunucu IP'sinin Amerika'da bulunduğunu gösteriyor. Proje, yakın zamanda (2025 yılının 17 Temmuz'unda ) güncellendi ve esas olarak config.rs'deki kötü niyetli URL kodlamasını değiştirdi.
Dinamik Analiz
Hırsızlık sürecini gözlemlemek için araştırmacılar, test amaçlı Solana anahtar çiftleri oluşturmak üzere bir betik yazdı ve POST isteklerini almak için bir HTTP sunucusu kurdu. Test sunucu adresini kodlayarak orijinal kötü niyetli adresle değiştirdi ve .env dosyasındaki PRIVATE_KEY'i test özel anahtarı ile değiştirdi.
Kötü niyetli kod başlatıldıktan sonra, test sunucusu özel anahtar bilgilerini içeren JSON verisini başarıyla aldı.
Özet
Saldırganlar, kullanıcıları kötü niyetli kodu çalıştırmaları için meşru açık kaynak projeleri kılığında kandırıyor. Kod, yerel olarak hassas bilgileri okur ve bunları saldırganın sunucusuna iletir. Bu tür saldırılar genellikle sosyal mühendislik yöntemleri ile birleştirilerek gerçekleştirilir.
Geliştiricilere, kaynağı belirsiz GitHub projelerine karşı dikkatli olmalarını, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda tavsiye ederim. Hata ayıklamak gerekiyorsa, bunu izole bir ortamda yapmalı ve kaynağı belirsiz programlar ve komutlar çalıştırmaktan kaçınmalıdır.