Hệ sinh thái Solana lại xuất hiện Bots độc hại: Tập tin cấu hình ẩn chứa bẫy đánh cắp Khóa riêng
Vào đầu tháng 7 năm 2025, một người dùng đã cầu cứu đội ngũ an ninh, cho biết tài sản tiền điện tử của họ đã bị đánh cắp. Qua điều tra, phát hiện sự kiện bắt nguồn từ việc người dùng này đã sử dụng một dự án mã nguồn mở được lưu trữ trên một nền tảng mã, từ đó kích hoạt hành vi đánh cắp tiền ẩn giấu.
Gần đây, lại có người dùng bị đánh cắp tài sản tiền điện tử do sử dụng các dự án mã nguồn mở tương tự như audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Để đối phó với điều này, đội ngũ an ninh đã tiến hành phân tích sâu.
Phân tích quá trình
Phân tích tĩnh
Thông qua phân tích tĩnh, phát hiện mã đáng ngờ nằm trong tệp cấu hình /src/common/config.rs, chủ yếu tập trung trong phương thức create_coingecko_proxy(). Phương thức này đầu tiên gọi import_wallet() để lấy thông tin khóa riêng.
Trong phương pháp import_env_var(), chủ yếu được sử dụng để lấy thông tin cấu hình biến môi trường từ tệp .env. Nếu biến môi trường không tồn tại, sẽ rơi vào vòng lặp vô hạn, dẫn đến việc tiêu tốn tài nguyên liên tục.
Thông tin nhạy cảm như PRIVATE_KEY được lưu trữ trong tệp .env. Sau khi lấy được khóa riêng, mã độc sẽ kiểm tra độ dài của khóa riêng: nếu nhỏ hơn 85, sẽ vào vòng lặp vô hạn; nếu lớn hơn 85, sẽ chuyển đổi thành đối tượng Keypair.
Sau đó, mã độc giải mã địa chỉ URL đã được mã hóa cứng, nhận được địa chỉ máy chủ của kẻ tấn công. Tiếp theo, xây dựng thân yêu cầu JSON, gửi thông tin khóa riêng đến máy chủ đó, đồng thời bỏ qua kết quả phản hồi.
Phương pháp create_coingecko_proxy() được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình. Tên phương pháp này đã được ngụy trang, có tính chất gây nhầm lẫn nhất định.
Qua phân tích, địa chỉ IP của máy chủ tấn công nằm ở Mỹ. Dự án này đã được cập nhật gần đây, các thay đổi chủ yếu tập trung vào tệp cấu hình, mã hóa địa chỉ máy chủ tấn công đã được thay thế.
Phân tích động
Để quan sát trực quan quá trình trộm cắp, đội ngũ an ninh đã viết kịch bản để tạo ra cặp khóa công khai và khóa riêng dùng cho thử nghiệm, và đã xây dựng một máy chủ HTTP nhận yêu cầu POST.
Thay thế mã hóa địa chỉ máy chủ thử nghiệm bằng mã hóa địa chỉ độc hại ban đầu, và điền khóa riêng thử nghiệm vào tệp .env. Sau khi khởi động mã độc, có thể thấy máy chủ thử nghiệm đã nhận thành công dữ liệu JSON chứa thông tin khóa riêng.
Ngoài ra còn phát hiện nhiều kho tương tự với phương pháp thực hiện.
Tóm tắt
Kẻ tấn công giả mạo các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng thực thi mã độc. Dự án này sẽ đọc thông tin nhạy cảm trên máy tính cục bộ và chuyển giao khóa riêng bị đánh cắp tới máy chủ của kẻ tấn công. Loại tấn công này thường kết hợp với các kỹ thuật kỹ thuật xã hội, người dùng chỉ cần sơ suất một chút là có thể bị mắc bẫy.
Đề nghị các nhà phát triển và người dùng nên cảnh giác với các dự án không rõ nguồn gốc, đặc biệt là khi liên quan đến thao tác ví hoặc Khóa riêng. Nếu cần gỡ lỗi, nên thực hiện trong một môi trường độc lập không có dữ liệu nhạy cảm, tránh thực hiện các chương trình và lệnh không rõ nguồn gốc.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
8 thích
Phần thưởng
8
5
Đăng lại
Chia sẻ
Bình luận
0/400
RamenDeFiSurvivor
· 11giờ trước
Mã nguồn mở dự án còn dám đụng vào? Tự tìm đến.
Xem bản gốcTrả lời0
ChainPoet
· 17giờ trước
Còn đang sử dụng Mã nguồn mở? Tỉnh táo lại đi
Xem bản gốcTrả lời0
rugdoc.eth
· 17giờ trước
Mỗi lần điều chỉnh mã, hãy xem qua mười lần nhé.
Xem bản gốcTrả lời0
MonkeySeeMonkeyDo
· 17giờ trước
Thật sự có nghệ nhân, đúng là khéo tay.
Xem bản gốcTrả lời0
FUD_Whisperer
· 17giờ trước
Sợ gì chứ, tôi chỉ dùng công cụ mã nguồn mở altcoin.
Hệ sinh thái Solana xuất hiện robot đánh cắp khóa riêng mới, hãy cảnh giác với những dự án mã nguồn mở ẩn chứa bí ẩn.
Hệ sinh thái Solana lại xuất hiện Bots độc hại: Tập tin cấu hình ẩn chứa bẫy đánh cắp Khóa riêng
Vào đầu tháng 7 năm 2025, một người dùng đã cầu cứu đội ngũ an ninh, cho biết tài sản tiền điện tử của họ đã bị đánh cắp. Qua điều tra, phát hiện sự kiện bắt nguồn từ việc người dùng này đã sử dụng một dự án mã nguồn mở được lưu trữ trên một nền tảng mã, từ đó kích hoạt hành vi đánh cắp tiền ẩn giấu.
Gần đây, lại có người dùng bị đánh cắp tài sản tiền điện tử do sử dụng các dự án mã nguồn mở tương tự như audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Để đối phó với điều này, đội ngũ an ninh đã tiến hành phân tích sâu.
Phân tích quá trình
Phân tích tĩnh
Thông qua phân tích tĩnh, phát hiện mã đáng ngờ nằm trong tệp cấu hình /src/common/config.rs, chủ yếu tập trung trong phương thức create_coingecko_proxy(). Phương thức này đầu tiên gọi import_wallet() để lấy thông tin khóa riêng.
Trong phương pháp import_env_var(), chủ yếu được sử dụng để lấy thông tin cấu hình biến môi trường từ tệp .env. Nếu biến môi trường không tồn tại, sẽ rơi vào vòng lặp vô hạn, dẫn đến việc tiêu tốn tài nguyên liên tục.
Thông tin nhạy cảm như PRIVATE_KEY được lưu trữ trong tệp .env. Sau khi lấy được khóa riêng, mã độc sẽ kiểm tra độ dài của khóa riêng: nếu nhỏ hơn 85, sẽ vào vòng lặp vô hạn; nếu lớn hơn 85, sẽ chuyển đổi thành đối tượng Keypair.
Sau đó, mã độc giải mã địa chỉ URL đã được mã hóa cứng, nhận được địa chỉ máy chủ của kẻ tấn công. Tiếp theo, xây dựng thân yêu cầu JSON, gửi thông tin khóa riêng đến máy chủ đó, đồng thời bỏ qua kết quả phản hồi.
Phương pháp create_coingecko_proxy() được gọi khi ứng dụng khởi động, nằm trong giai đoạn khởi tạo tệp cấu hình. Tên phương pháp này đã được ngụy trang, có tính chất gây nhầm lẫn nhất định.
Qua phân tích, địa chỉ IP của máy chủ tấn công nằm ở Mỹ. Dự án này đã được cập nhật gần đây, các thay đổi chủ yếu tập trung vào tệp cấu hình, mã hóa địa chỉ máy chủ tấn công đã được thay thế.
Phân tích động
Để quan sát trực quan quá trình trộm cắp, đội ngũ an ninh đã viết kịch bản để tạo ra cặp khóa công khai và khóa riêng dùng cho thử nghiệm, và đã xây dựng một máy chủ HTTP nhận yêu cầu POST.
Thay thế mã hóa địa chỉ máy chủ thử nghiệm bằng mã hóa địa chỉ độc hại ban đầu, và điền khóa riêng thử nghiệm vào tệp .env. Sau khi khởi động mã độc, có thể thấy máy chủ thử nghiệm đã nhận thành công dữ liệu JSON chứa thông tin khóa riêng.
Chỉ số xâm nhập
Ngoài ra còn phát hiện nhiều kho tương tự với phương pháp thực hiện.
Tóm tắt
Kẻ tấn công giả mạo các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng thực thi mã độc. Dự án này sẽ đọc thông tin nhạy cảm trên máy tính cục bộ và chuyển giao khóa riêng bị đánh cắp tới máy chủ của kẻ tấn công. Loại tấn công này thường kết hợp với các kỹ thuật kỹ thuật xã hội, người dùng chỉ cần sơ suất một chút là có thể bị mắc bẫy.
Đề nghị các nhà phát triển và người dùng nên cảnh giác với các dự án không rõ nguồn gốc, đặc biệt là khi liên quan đến thao tác ví hoặc Khóa riêng. Nếu cần gỡ lỗi, nên thực hiện trong một môi trường độc lập không có dữ liệu nhạy cảm, tránh thực hiện các chương trình và lệnh không rõ nguồn gốc.