O ecossistema Solana enfrenta um grave incidente de segurança: pacotes NPM maliciosos roubam a chave privada dos usuários
No início de julho de 2025, o ecossistema Solana enfrentou um grave incidente de segurança. Um usuário, após utilizar um projeto de código aberto hospedado no GitHub, descobriu que seus ativos criptográficos haviam sido roubados. Após uma investigação aprofundada por especialistas em segurança, foi revelada uma cadeia de ataque cuidadosamente elaborada, envolvendo pacotes NPM maliciosos, projetos de código aberto disfarçados e várias contas do GitHub colaborativas.
Causa do evento
O evento originou-se de um projeto no GitHub chamado "solana-pumpfun-bot". Este projeto é aparentemente uma ferramenta do ecossistema Solana baseada em Node.js, mas na verdade contém código malicioso. O número de Stars e Forks do projeto é anormalmente alto, mas o tempo de envio de código é concentrado em um curto espaço de tempo, faltando características de atualizações contínuas.
Análise de técnicas de ataque
Pacote NPM malicioso
A investigação revelou que o projeto dependia de um pacote NPM suspeito chamado "crypto-layout-utils". Este pacote foi removido oficialmente, mas os atacantes modificaram o arquivo package-lock.json para direcionar o link de download para um repositório do GitHub que controlam.
Ofuscação de código
O pacote malicioso descarregado utilizou técnicas de ofuscação avançadas, aumentando a dificuldade de análise. Após a desofuscação, foi descoberto que o pacote analisa os arquivos sensíveis no computador do usuário, em busca de informações como a chave privada da carteira, e as envia para um servidor controlado pelo atacante.
Engenharia social
Um atacante suspeita-se que controla várias contas do GitHub, usadas para fazer Fork de projetos maliciosos e aumentar o número de Stars, a fim de aumentar a credibilidade e atratividade do projeto.
Ataque de múltiplas versões
O inquérito também revelou que os atacantes usaram várias versões de pacotes maliciosos, incluindo "bs58-encrypt-utils", para aumentar a taxa de sucesso e a persistência do ataque.
Fluxo de capital
Através de ferramentas de análise de blockchain, parte dos fundos roubados foi transferida para uma determinada plataforma de negociação de criptomoedas.
Sugestões de defesa
Tenha cuidado com projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou Chave privada.
Executar e depurar projetos desconhecidos em um ambiente independente e sem dados sensíveis.
Verifique periodicamente as dependências do projeto e esteja atento a versões de pacotes ou links de download anormais.
Use ferramentas e serviços de segurança confiáveis para escanear regularmente vulnerabilidades do sistema.
Manter o software e os patches de segurança atualizados a tempo.
Este incidente lembra-nos novamente da importância da consciência de segurança e das medidas de proteção no ecossistema Web3 em rápida evolução. Desenvolvedores e usuários precisam manter uma vigilância elevada para juntos manterem a segurança do ecossistema.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
19 gostos
Recompensa
19
6
Republicar
Partilhar
Comentar
0/400
SlowLearnerWang
· 07-18 12:28
De novo atrasado. Acabei de saber que o sol foi roubado. Preciso ver se a minha Chave privada está lá.
Ver originalResponder0
ChainDoctor
· 07-18 12:13
Outra armadilha nova.
Ver originalResponder0
0xSoulless
· 07-18 07:01
Cuidado com o alho-poró, o sol também não está garantido.
Solana enfrenta um grave incidente de segurança: pacotes NPM maliciosos roubam as Chaves privadas dos usuários
O ecossistema Solana enfrenta um grave incidente de segurança: pacotes NPM maliciosos roubam a chave privada dos usuários
No início de julho de 2025, o ecossistema Solana enfrentou um grave incidente de segurança. Um usuário, após utilizar um projeto de código aberto hospedado no GitHub, descobriu que seus ativos criptográficos haviam sido roubados. Após uma investigação aprofundada por especialistas em segurança, foi revelada uma cadeia de ataque cuidadosamente elaborada, envolvendo pacotes NPM maliciosos, projetos de código aberto disfarçados e várias contas do GitHub colaborativas.
Causa do evento
O evento originou-se de um projeto no GitHub chamado "solana-pumpfun-bot". Este projeto é aparentemente uma ferramenta do ecossistema Solana baseada em Node.js, mas na verdade contém código malicioso. O número de Stars e Forks do projeto é anormalmente alto, mas o tempo de envio de código é concentrado em um curto espaço de tempo, faltando características de atualizações contínuas.
Análise de técnicas de ataque
A investigação revelou que o projeto dependia de um pacote NPM suspeito chamado "crypto-layout-utils". Este pacote foi removido oficialmente, mas os atacantes modificaram o arquivo package-lock.json para direcionar o link de download para um repositório do GitHub que controlam.
O pacote malicioso descarregado utilizou técnicas de ofuscação avançadas, aumentando a dificuldade de análise. Após a desofuscação, foi descoberto que o pacote analisa os arquivos sensíveis no computador do usuário, em busca de informações como a chave privada da carteira, e as envia para um servidor controlado pelo atacante.
Um atacante suspeita-se que controla várias contas do GitHub, usadas para fazer Fork de projetos maliciosos e aumentar o número de Stars, a fim de aumentar a credibilidade e atratividade do projeto.
O inquérito também revelou que os atacantes usaram várias versões de pacotes maliciosos, incluindo "bs58-encrypt-utils", para aumentar a taxa de sucesso e a persistência do ataque.
Fluxo de capital
Através de ferramentas de análise de blockchain, parte dos fundos roubados foi transferida para uma determinada plataforma de negociação de criptomoedas.
Sugestões de defesa
Tenha cuidado com projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou Chave privada.
Executar e depurar projetos desconhecidos em um ambiente independente e sem dados sensíveis.
Verifique periodicamente as dependências do projeto e esteja atento a versões de pacotes ou links de download anormais.
Use ferramentas e serviços de segurança confiáveis para escanear regularmente vulnerabilidades do sistema.
Manter o software e os patches de segurança atualizados a tempo.
Este incidente lembra-nos novamente da importância da consciência de segurança e das medidas de proteção no ecossistema Web3 em rápida evolução. Desenvolvedores e usuários precisam manter uma vigilância elevada para juntos manterem a segurança do ecossistema.