值得信赖的区块链资讯!
威胁情报:Solana 开源机器人盗币分析
来源:慢雾科技
原文链接:https://mp.weixin.qq.com/s/Tu5queqqz874swt6znwbtA
背景
在 2025 年 7 月初,慢雾安全团队接到一名受害用户的求助,请求协助分析其加密资产被盗的原因。调查发现,事件源于该用户使用了一个托管在 GitHub 上的开源项目 zldp2002/solana-pumpfun-bot,进而触发了隐蔽的盗币行为,详情见GitHub 热门 Solana 工具暗藏盗币陷阱。
近期,又有用户因使用类似的开源项目 —— audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot,导致加密资产被盗,并联系到慢雾安全团队。对此,团队进一步深入分析了该攻击手法。
分析过程
静态分析
我们首先通过静态分析的方式,寻找攻击者设置的陷阱。经分析,发现可疑代码位于 /src/common/config.rs 配置文件中,主要集中在 create_coingecko_proxy() 方法内:
在 import_env_var() 方法中,主要用于获取 .env 文件中的环境变量配置信息。
调用过程中,如果环境变量存在,则直接返回;若不存在,则进入 Err(e) 分支,打印错误信息。由于存在无退出条件的 loop {} 循环,会导致资源持续消耗。
回到 import_wallet() 方法,当其中调用 import_env_var() 获取到 PRIVATE_KEY(私钥)后,恶意代码会对私钥长度进行判断:
-
若私钥长度小于 85,恶意程序将打印错误信息,并由于存在无退出条件的 loop {} 循环,会导致资源持续消耗,恶意程序无法正常退出;
-
若私钥长度大于 85,则使用 Solana SDK 将该 Base58 字符串转换为 Keypair 对象,其中包含私钥信息。
随后,恶意代码使用 Arc 对私钥信息进行封装,以支持多线程共享。
回到 create_coingecko_proxy() 方法,在成功获取私钥信息后,恶意代码接着对恶意 URL 地址进行解码。
该方法首先获取编码后的 HELIUS_PROXY(攻击者服务器地址)这一硬编码常量。
随后,恶意代码使用 bs58 对 HELIUS_PROXY(攻击者服务器地址)进行解码,将解码结果转换为字节数组,并通过 from_utf8() 将该字节数组进一步转为 UTF-8 字符串。
通过编写脚本可还原出 HELIUS_PROXY 解码后的真实地址如下:
http://103.35.189.28:5000/api/wallets
恶意代码在成功解码出 URL (http://103.35.189.28:5000/api/wallets) 后,首先创建一个 HTTP 客户端,将获取到的私钥信息 payer 使用 to_base58_string() 转换为 Base58 字符串。
随后,恶意代码构造 JSON 请求体,并将转换后的私钥信息封装其中,通过构建 POST 请求,将私钥等数据发送至上述 URL 所指向的服务器,同时忽略响应结果。
无论服务器返回何种结果,恶意代码仍会继续运行,以避免引起用户察觉。
此外,create_coingecko_proxy() 方法中还包含获取价格等正常功能,用以掩盖其恶意行为;该方法名称本身也经过伪装,具有一定的迷惑性。
通过分析可知,create_coingecko_proxy() 方法在应用启动时被调用,具体位于 main.rs 中 main() 方法的配置文件初始化阶段。
在配置文件 src/common/config.rs 的 new() 方法中,恶意代码首先加载 .env 文件,随后调用 create_coingecko_proxy() 方法。
据分析,该服务器的 IP 地址位于美国。
(https://www.virustotal.com/gui/ip-address/103.35.189.28)
观察到该项目在 GitHub 上于近期(2025 年 7 月 17 日)进行了更新,主要更改集中在 src 目录下的配置文件 config.rs 中。
在 src/common/config.rs 文件中,可以看到 HELIUS_PROXY(攻击者服务器地址)的原地址编码已被替换为新的编码。
使用脚本对原地址编码进行解码后,可获得原服务器地址。
// 原地址编码 HELIUS_PROXY: 2HeX3Zi2vTf1saVKAcNmf3zsXDkjohjk3h7AsnBxbzCkgTY99X5jomSUkBCW7wodoq29Y// 解码得到的原服务器地址https://storebackend-qpq3.onrender.com/api/wallets
动态分析
为了更直观地观察恶意代码的盗窃过程,我们采用动态分析方法,编写了一个 Python 脚本,用于生成测试用的 Solana 公私钥对。
同时,我们在服务器上搭建了一个能够接收 POST 请求的 HTTP 服务器。
编写 Python 脚本生成测试服务器对应的编码,并将其替换原攻击者设置的恶意服务器地址编码,即 HELIUS_PROXY(攻击者服务器地址)处。
随后,将 .env 文件中的 PRIVATE_KEY(私钥)替换为刚生成的测试私钥。
接下来,启动恶意代码并观察服务器端接口的响应。
我们可以看到,测试服务器成功接收到了恶意项目发送的 JSON 数据,其中包含 PRIVATE_KEY(私钥)信息。
入侵指标(IoCs)
IPs:
103.35.189.28
Domains:
storebackend-qpq3.onrender.com
SHA256:
-
07f0364171627729788797bb37e0170a06a787a479666abf8c80736722bb79e8 – pumpfun-pumpswap-sniper-copy-trading-bot-master.zip
-
ace4b1fc4290d6ffd7da0fa943625b3a852190f0aa8d44b93623423299809e48 – pumpfun-pumpswap-sniper-copy-trading-bot-master/src/common/config.rs
恶意仓库:
https://github.com/audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot
类似实现手法:
-
https://github.com/BitFancy/Solana-MEV-Bot-Optimized
-
https://github.com/0xTan1319/solana-copytrading-bot-rust
-
https://github.com/blacklabelecom/SAB-4
-
https://github.com/FaceOFWood/SniperBot-Solana-PumpSwap
-
https://github.com/Alemoore/Solana-MEV-Bot-Optimized
-
https://github.com/TopTrenDev/Raypump-Executioner-Bot
-
https://github.com/deniyuda348/Solana-Arbitrage-Bot-Flash-Loan
总结
本次分享的攻击手法中,攻击者通过伪装成合法开源项目,诱导用户下载并执行该恶意代码。该项目会从本地读取 .env 文件中的敏感信息,并将盗取的私钥传输至攻击者控制的服务器。这类攻击通常结合社会工程学技术,用户稍有不慎便可能中招。
我们建议开发者与用户对来路不明的 GitHub 项目保持高度警惕,尤其是在涉及钱包或私钥操作时。如确需运行或调试,建议在独立且无敏感数据的环境中进行,避免执行来源不明的恶意程序和命令。
更多安全知识可参考慢雾(SlowMist)出品的《区块链黑暗森林自救手册》:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md
比推快讯
更多 >>- LayerZero Executor 钱包疑遭攻击,损失约 210 万美元
- 半导体板块占标普 500 指数权重升至 20%,创历史新高
- 英国计划 2027 年初前发行首只 G7 数字主权债券
- Apple 智能完成备案,苹果 AI 入华再过一关
- 数据:DePIN 板块总市值较历史高点下跌 83%,年内累计跌幅达 23%
- 长鑫科技:上市后仍将保持无实际控制人的控制权架构
- 美股盘前 SK 海力士下跌 4.6%
- 分析师:SK 海力士 ADR 高溢价反映全球 AI 硬件投资需求强劲
- Hyperliquid 平台交易者 BTC 多头仓位创阶段高位
- Strategy CEO 计划恢复比特币增持并继续增加美元储备
- 数据:比特币 UTXO 亏损比例攀升至极端水平,链上数据显示市场压力加剧
- 分析师:比特币 24 小时上涨 3% 由真实需求驱动,而非空头挤压
- 日本参议院通过《金商法》修正案,加密资产正式被列为金融商品
- 币安将新增 10 种 bStocks 作为抵押品
- Bitget 质押借币新增 39 支股票代币(rToken)作为抵押品
- Bitunix 分析师:市场交易的不只是低通胀,而是政策可信度的重新定价
- 东方金诚:10 年期美债收益率大概率继续抬升
- BTC 长短期持仓比创 30 个月新高,长期持有者持续吸筹
- 巨鲸追踪SK 海力士巨鲸回吐近 90%浮盈,900 万美元空单平仓离场
- 韩媒:三星秘密研究赴美上市可行性公司此前否认相关计划
- 传 Claude Opus5 最快本周发布,填补 Fable5 退场空档
- Anthropic 免费送美国教师一年 Claude,可按 50 州课标备课
- 数据:某巨鲸向 Hyperliquid 存入 500 万美元 USDC,并下达 TWAP 订单以 1 倍杠杆开立 $CXMT 空头头寸
- RootData 发布股票衍生品流动性榜单:币安、Bitget、Bybit 位列前三
- 数据:GMGN 聪明钱 24h 净流入榜,WORLDCUP 居首
- 韩国经济财政部拟立法管理国有资产,涵盖加密货币等新型资产
- 数据:Robinhood Chain 代币 INDEX 市值突破 1600 万美元,近 1 小时翻倍
- 巨鲸追踪美光重返千元解套 TOP 1 多头地址,挂出 1036 万卖单计划清仓离场
- 数据:Coinbase 比特币较币安连续 50 天折价,创最长纪录
- 数据:BarnBridge 治理攻击疑似已造成约 77.6 万美元损失
- DeepSeek 年化收入逼近 5 亿美元,V4 API 毛利率超 50%
- 阿斯麦 Q2 业绩全面超预期,AI 芯片需求成主要驱动力
- 526%溢价与半个 SK 海力士市值,链上为 7.7%市场份额的长鑫投出强信任票
- 韩国国税厅推进 2027 年加密征税准备,国会关于废除相关税制讨论仍停滞
- 预测市场 Kalshi 推出 GPU 价格预测市场,覆盖 Nvidia B200、H200 和 A100 芯片
- Aave Stable Vaults 将采用 Chainlink CCIP 作为跨链基础设施标准
- 长鑫科技合约价快速回落,近 1 小时跌超 11%
- SK 海力士今日绝地反弹,trade.xyz 上资金费率显示投资者或正积极做空
- Hyperliquid 上长鑫存储盘前市值达 5400 亿美元,已超越腾讯
- 持有 7540 万美元资产某巨鲸以 5 倍杠杆做多 2 万枚长鑫存储
- 数据:当前加密恐慌贪婪指数为 26,处于恐慌状态
- Linux 基金会推出 x402 基金会,开发 AI 代理、API 和应用程序开放支付标准
- 数据:比特币现货 ETF 昨日总净流入 1.81 亿美元,贝莱德 IBIT 净流入 1.39 亿美元居首
- 韩国总统:股市急涨后需时间企稳,敦促监管部门应对杠杆 ETF 争议
- Stripe 联合 Advent 出价逾 530 亿美元拟收购 PayPal
- 韩国 KOSPI 指数日内涨 7.94%,SK 海力士现涨 12%
- Hyperliquid 上长鑫存储 7.2 美元附近买单超 590 万美元
- 抢跑长鑫存储定价再度成为市场焦点,HYPE 币价单日反弹超 6%
- 数据:市值前 1000 大加密项目中仅 67 个拥有维基百科页面
- 某鲸鱼清仓套现 CASHCAT,回报率高达 952 倍
比推专栏
更多 >>观点
比推热门文章
- LayerZero Executor 钱包疑遭攻击,损失约 210 万美元
- 半导体板块占标普 500 指数权重升至 20%,创历史新高
- 英国计划 2027 年初前发行首只 G7 数字主权债券
- Apple 智能完成备案,苹果 AI 入华再过一关
- 数据:DePIN 板块总市值较历史高点下跌 83%,年内累计跌幅达 23%
- 长鑫科技:上市后仍将保持无实际控制人的控制权架构
- 美股盘前 SK 海力士下跌 4.6%
- 分析师:SK 海力士 ADR 高溢价反映全球 AI 硬件投资需求强劲
- Hyperliquid 平台交易者 BTC 多头仓位创阶段高位
- Strategy CEO 计划恢复比特币增持并继续增加美元储备
比推 APP


