El ecosistema de Solana enfrenta un grave incidente de seguridad: paquetes NPM maliciosos roban las llaves privadas de los usuarios
A principios de julio de 2025, el ecosistema de Solana sufrió un grave incidente de seguridad. Un usuario descubrió que sus activos criptográficos habían sido robados después de usar un proyecto de código abierto alojado en GitHub. Tras una profunda investigación por parte de expertos en seguridad, se reveló una cadena de ataque meticulosamente diseñada, que involucraba paquetes NPM maliciosos, proyectos de código abierto disfrazados y múltiples cuentas de GitHub colaborativas.
Causa del evento
El evento se originó en un proyecto de GitHub llamado "solana-pumpfun-bot". Este proyecto es ostensiblemente una herramienta del ecosistema Solana basada en Node.js, pero en realidad contiene código malicioso. La cantidad de Stars y Forks del proyecto es anormalmente alta, pero el tiempo de envío del código está concentrado en un corto período, careciendo de las características de actualizaciones continuas.
Análisis de técnicas de ataque
Paquete NPM malicioso
La investigación revela que el proyecto depende de un paquete NPM sospechoso llamado "crypto-layout-utils". Este paquete ha sido retirado oficialmente, pero los atacantes modificaron el archivo package-lock.json para redirigir el enlace de descarga a un repositorio de GitHub que controlan.
Ofuscación de código
El paquete malicioso descargado utilizó técnicas de ofuscación avanzadas, lo que aumentó la dificultad de análisis. Después de desofuscar, se descubrió que el paquete escanea archivos sensibles en la computadora del usuario, en busca de información como la llave privada de la billetera, y la sube a un servidor controlado por el atacante.
Ingeniería social
Los atacantes supuestamente controlan múltiples cuentas de GitHub para bifurcar proyectos maliciosos y aumentar su número de estrellas, con el fin de incrementar la credibilidad y el atractivo del proyecto.
Ataque de múltiples versiones
La investigación también descubrió que los atacantes utilizaron múltiples versiones de paquetes maliciosos, incluyendo "bs58-encrypt-utils", para aumentar la tasa de éxito y la persistencia del ataque.
Flujo de fondos
A través de herramientas de análisis de blockchain, parte de los fondos robados han sido transferidos a una plataforma de intercambio de criptomonedas.
Sugerencias de defensa
Tenga cuidado con los proyectos de GitHub de origen desconocido, especialmente aquellos que implican operaciones de billetera o Llave privada.
Ejecutar y depurar proyectos desconocidos en un entorno independiente y sin datos sensibles.
Revisar periódicamente las dependencias del proyecto, estar alerta ante versiones de paquetes o enlaces de descarga anómalos.
Utilice herramientas y servicios de seguridad confiables, y escanee regularmente el sistema en busca de vulnerabilidades.
Mantener el software y los parches de seguridad actualizados a tiempo.
Este incidente nos recuerda una vez más que en el rápido desarrollo del ecosistema Web3, la conciencia de seguridad y las medidas de protección no deben ser ignoradas. Tanto los desarrolladores como los usuarios deben mantenerse alerta y trabajar juntos para mantener la seguridad del ecosistema.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
19 me gusta
Recompensa
19
6
Compartir
Comentar
0/400
SlowLearnerWang
· 07-18 12:28
Otra vez llego tarde. Acabo de saber que sol fue robado. Tengo que ver si mi Llave privada está.
Ver originalesResponder0
ChainDoctor
· 07-18 12:13
Otra trampa nueva.
Ver originalesResponder0
0xSoulless
· 07-18 07:01
El ajo hace que uno se preocupe, sol no está asegurado otra vez.
Ver originalesResponder0
PaperHandsCriminal
· 07-15 14:06
No soy el único que ha sido engañado, ¿verdad? Jaja
Ver originalesResponder0
ContractTester
· 07-15 13:56
La cadena de bloques ha penetrado hasta los huesos.
Solana sufrió un grave incidente de seguridad: un paquete NPM malicioso robó las Llaves privadas de los usuarios.
El ecosistema de Solana enfrenta un grave incidente de seguridad: paquetes NPM maliciosos roban las llaves privadas de los usuarios
A principios de julio de 2025, el ecosistema de Solana sufrió un grave incidente de seguridad. Un usuario descubrió que sus activos criptográficos habían sido robados después de usar un proyecto de código abierto alojado en GitHub. Tras una profunda investigación por parte de expertos en seguridad, se reveló una cadena de ataque meticulosamente diseñada, que involucraba paquetes NPM maliciosos, proyectos de código abierto disfrazados y múltiples cuentas de GitHub colaborativas.
Causa del evento
El evento se originó en un proyecto de GitHub llamado "solana-pumpfun-bot". Este proyecto es ostensiblemente una herramienta del ecosistema Solana basada en Node.js, pero en realidad contiene código malicioso. La cantidad de Stars y Forks del proyecto es anormalmente alta, pero el tiempo de envío del código está concentrado en un corto período, careciendo de las características de actualizaciones continuas.
Análisis de técnicas de ataque
La investigación revela que el proyecto depende de un paquete NPM sospechoso llamado "crypto-layout-utils". Este paquete ha sido retirado oficialmente, pero los atacantes modificaron el archivo package-lock.json para redirigir el enlace de descarga a un repositorio de GitHub que controlan.
El paquete malicioso descargado utilizó técnicas de ofuscación avanzadas, lo que aumentó la dificultad de análisis. Después de desofuscar, se descubrió que el paquete escanea archivos sensibles en la computadora del usuario, en busca de información como la llave privada de la billetera, y la sube a un servidor controlado por el atacante.
Los atacantes supuestamente controlan múltiples cuentas de GitHub para bifurcar proyectos maliciosos y aumentar su número de estrellas, con el fin de incrementar la credibilidad y el atractivo del proyecto.
La investigación también descubrió que los atacantes utilizaron múltiples versiones de paquetes maliciosos, incluyendo "bs58-encrypt-utils", para aumentar la tasa de éxito y la persistencia del ataque.
Flujo de fondos
A través de herramientas de análisis de blockchain, parte de los fondos robados han sido transferidos a una plataforma de intercambio de criptomonedas.
Sugerencias de defensa
Tenga cuidado con los proyectos de GitHub de origen desconocido, especialmente aquellos que implican operaciones de billetera o Llave privada.
Ejecutar y depurar proyectos desconocidos en un entorno independiente y sin datos sensibles.
Revisar periódicamente las dependencias del proyecto, estar alerta ante versiones de paquetes o enlaces de descarga anómalos.
Utilice herramientas y servicios de seguridad confiables, y escanee regularmente el sistema en busca de vulnerabilidades.
Mantener el software y los parches de seguridad actualizados a tiempo.
Este incidente nos recuerda una vez más que en el rápido desarrollo del ecosistema Web3, la conciencia de seguridad y las medidas de protección no deben ser ignoradas. Tanto los desarrolladores como los usuarios deben mantenerse alerta y trabajar juntos para mantener la seguridad del ecosistema.