Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Tập tin cấu hình ẩn chứa khóa riêng trộm cắp
Vào đầu tháng 7 năm 2025, một người dùng đã yêu cầu sự trợ giúp từ đội ngũ an ninh, cho biết tài sản tiền điện tử của họ đã bị đánh cắp. Cuộc điều tra phát hiện ra rằng sự cố bắt nguồn từ việc người dùng này đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub, kích hoạt hành vi đánh cắp tiền ẩn. Gần đây, lại có người dùng khác bị đánh cắp tài sản do sử dụng các dự án mã nguồn mở tương tự. Đội ngũ an ninh đã tiến hành phân tích sâu về vấn đề này.
Phân tích tĩnh
Phân tích phát hiện, mã nghi ngờ nằm trong tệp cấu hình /src/common/config.rs, chủ yếu tập trung trong phương thức create_coingecko_proxy(). Phương thức này đầu tiên gọi import_wallet() để lấy Khóa riêng, sau đó kiểm tra độ dài của Khóa riêng:
Nếu nhỏ hơn 85, in thông tin lỗi và rơi vào vòng lặp vô hạn
Nếu lớn hơn 85, chuyển đổi Khóa riêng thành đối tượng Keypair và đóng gói.
Sau đó, mã độc đã giải mã một địa chỉ URL được mã hóa cứng, và có được địa chỉ thực tế:
Mã tạo HTTP client, chuyển đổi khóa riêng thành chuỗi Base58, xây dựng thân yêu cầu JSON, gửi khóa riêng đến URL đó qua yêu cầu POST. Dù máy chủ trả về kết quả gì, mã độc vẫn sẽ tiếp tục chạy để tránh bị phát hiện.
phương pháp create_coingecko_proxy() cũng bao gồm các chức năng bình thường như lấy giá để che giấu hành vi độc hại. Phương pháp này được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình main.rs.
Phân tích cho thấy, IP máy chủ của kẻ tấn công nằm ở Mỹ. Dự án đã được cập nhật gần đây vào ngày 17 tháng 7 năm 2025, chủ yếu thay đổi mã hóa URL độc hại trong config.rs.
Phân tích động
Để quan sát trực quan quá trình trộm cắp, các nhà nghiên cứu đã viết kịch bản để tạo ra các cặp khóa Solana dùng thử, và xây dựng máy chủ HTTP để nhận các yêu cầu POST. Địa chỉ máy chủ thử nghiệm được mã hóa thay thế địa chỉ độc hại ban đầu, và khóa riêng thử nghiệm được thay thế trong tệp .env với PRIVATE_KEY.
Sau khi khởi động mã độc, máy chủ kiểm tra đã nhận thành công dữ liệu JSON chứa thông tin khóa riêng.
Tóm tắt
Kẻ tấn công sử dụng việc giả mạo các dự án mã nguồn mở hợp pháp để dụ dỗ người dùng thực thi mã độc. Mã này đọc thông tin nhạy cảm từ máy tính cục bộ và truyền nó đến máy chủ của kẻ tấn công. Loại tấn công này thường kết hợp với các phương pháp kỹ thuật xã hội.
Khuyến nghị các nhà phát triển và người dùng cần cảnh giác với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc Khóa riêng. Nếu cần gỡ lỗi, nên thực hiện trong môi trường cách ly, tránh thực thi các chương trình và lệnh không rõ nguồn gốc.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
4
Đăng lại
Chia sẻ
Bình luận
0/400
DaoDeveloper
· 07-28 10:34
sẽ kiểm tra từng cam kết mã nguồn mở như một con diều hâu sau chuyện này... đã trải qua, mất 3 sol do một lỗ hổng tương tự vào tháng trước
Xem bản gốcTrả lời0
DevChive
· 07-25 19:31
Hê hê, cái chết của Long.
Xem bản gốcTrả lời0
LucidSleepwalker
· 07-25 19:30
Lại lộn xộn, sol thì mát lạnh.
Xem bản gốcTrả lời0
failed_dev_successful_ape
· 07-25 19:22
Đã nói rồi, thảm nhiều lắm. Trượt thôi, trượt thôi.
Mối đe dọa ẩn hiện trở lại trong hệ sinh thái Solana: Dự án GitHub ẩn chứa mã lấy cắp khóa riêng.
Hệ sinh thái Solana lại xuất hiện các Bots độc hại: Tập tin cấu hình ẩn chứa khóa riêng trộm cắp
Vào đầu tháng 7 năm 2025, một người dùng đã yêu cầu sự trợ giúp từ đội ngũ an ninh, cho biết tài sản tiền điện tử của họ đã bị đánh cắp. Cuộc điều tra phát hiện ra rằng sự cố bắt nguồn từ việc người dùng này đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub, kích hoạt hành vi đánh cắp tiền ẩn. Gần đây, lại có người dùng khác bị đánh cắp tài sản do sử dụng các dự án mã nguồn mở tương tự. Đội ngũ an ninh đã tiến hành phân tích sâu về vấn đề này.
Phân tích tĩnh
Phân tích phát hiện, mã nghi ngờ nằm trong tệp cấu hình /src/common/config.rs, chủ yếu tập trung trong phương thức create_coingecko_proxy(). Phương thức này đầu tiên gọi import_wallet() để lấy Khóa riêng, sau đó kiểm tra độ dài của Khóa riêng:
Sau đó, mã độc đã giải mã một địa chỉ URL được mã hóa cứng, và có được địa chỉ thực tế:
Mã tạo HTTP client, chuyển đổi khóa riêng thành chuỗi Base58, xây dựng thân yêu cầu JSON, gửi khóa riêng đến URL đó qua yêu cầu POST. Dù máy chủ trả về kết quả gì, mã độc vẫn sẽ tiếp tục chạy để tránh bị phát hiện.
phương pháp create_coingecko_proxy() cũng bao gồm các chức năng bình thường như lấy giá để che giấu hành vi độc hại. Phương pháp này được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình main.rs.
Phân tích cho thấy, IP máy chủ của kẻ tấn công nằm ở Mỹ. Dự án đã được cập nhật gần đây vào ngày 17 tháng 7 năm 2025, chủ yếu thay đổi mã hóa URL độc hại trong config.rs.
Phân tích động
Để quan sát trực quan quá trình trộm cắp, các nhà nghiên cứu đã viết kịch bản để tạo ra các cặp khóa Solana dùng thử, và xây dựng máy chủ HTTP để nhận các yêu cầu POST. Địa chỉ máy chủ thử nghiệm được mã hóa thay thế địa chỉ độc hại ban đầu, và khóa riêng thử nghiệm được thay thế trong tệp .env với PRIVATE_KEY.
Sau khi khởi động mã độc, máy chủ kiểm tra đã nhận thành công dữ liệu JSON chứa thông tin khóa riêng.
Tóm tắt
Kẻ tấn công sử dụng việc giả mạo các dự án mã nguồn mở hợp pháp để dụ dỗ người dùng thực thi mã độc. Mã này đọc thông tin nhạy cảm từ máy tính cục bộ và truyền nó đến máy chủ của kẻ tấn công. Loại tấn công này thường kết hợp với các phương pháp kỹ thuật xã hội.
Khuyến nghị các nhà phát triển và người dùng cần cảnh giác với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc Khóa riêng. Nếu cần gỡ lỗi, nên thực hiện trong môi trường cách ly, tránh thực thi các chương trình và lệnh không rõ nguồn gốc.