Solana生態再現惡意機器人:配置文件暗藏私鑰竊取

2025年7月初,一名用戶向安全團隊求助,稱其加密資產被盜。調查發現,事件源於該用戶使用了托管在GitHub上的一個開源項目,觸發了隱藏的盜幣行爲。近期又有用戶因使用類似開源項目導致資產被盜。安全團隊對此展開了深入分析。

靜態分析

分析發現,可疑代碼位於/src/common/config.rs配置文件中,主要集中在create_coingecko_proxy()方法內。該方法首先調用import_wallet()獲取私鑰,然後對私鑰長度進行判斷:

• 若小於85,打印錯誤信息並陷入無限循環
• 若大於85,將私鑰轉換爲Keypair對象並封裝

隨後,惡意代碼對一個硬編碼的URL地址進行解碼,得到真實地址:

代碼創建HTTP客戶端,將私鑰轉爲Base58字符串,構造JSON請求體,通過POST請求將私鑰發送至該URL。無論服務器返回何種結果,惡意代碼都會繼續運行以避免被察覺。

create_coingecko_proxy()方法還包含獲取價格等正常功能來掩蓋惡意行爲。該方法在應用啓動時被調用,位於main.rs的配置文件初始化階段。

分析顯示,攻擊者服務器IP位於美國。項目在近期(2025年7月17日)進行了更新,主要更改了config.rs中的惡意URL編碼。

動態分析

爲直觀觀察盜竊過程,研究人員編寫腳本生成測試用的Solana密鑰對,並搭建HTTP服務器接收POST請求。將測試服務器地址編碼替換原惡意地址,並用測試私鑰替換.env文件中的PRIVATE_KEY。

啓動惡意代碼後,測試服務器成功接收到包含私鑰信息的JSON數據。

總結

攻擊者通過僞裝合法開源項目誘導用戶執行惡意代碼。代碼從本地讀取敏感信息並傳輸至攻擊者服務器。這類攻擊常結合社會工程學手段實施。

建議開發者與用戶對來源不明的GitHub項目保持警惕,尤其涉及錢包或私鑰操作時。如需調試,應在隔離環境中進行,避免執行來源不明的程序和命令。