На початку липня 2025 року екосистема Solana зазнала серйозної безпекової події. Один користувач, після використання відкритого проекту, розміщеного на GitHub, виявив, що його криптоактиви були вкрадені. Після детального розслідування безпековими експертами, було виявлено ретельно продуману ланцюг атак, що включала шкідливі пакети NPM, маскувальні відкриті проекти та кілька скоординованих облікових записів GitHub.
Причини події
Подія виникла з проекту на GitHub під назвою "solana-pumpfun-bot". Цей проект на перший погляд є інструментом для екосистеми Solana на базі Node.js, але насправді містить шкідливий код. Кількість Star та Fork цього проекту аномально висока, але часи внесення змін до коду зосереджені в короткий проміжок часу, що свідчить про відсутність постійних оновлень.
Аналіз методів атаки
Шкідливий пакет NPM
Дослідження виявило, що проект залежав від підозрілого NPM-пакету під назвою "crypto-layout-utils". Цей пакет було знято з офіційного сайту, але зловмисники, змінюючи файл package-lock.json, перенаправили посилання на завантаження на свій контрольований репозиторій GitHub.
Обфускація коду
Завантажений шкідливий пакет використовував高度 обфускації, що ускладнює аналіз. Після деобфускації виявлено, що цей пакет сканує чутливі файли на комп'ютері користувача, шукаючи інформацію про закритий ключ гаманця та інше, і завантажує її на сервер, контрольований зловмисником.
Соціальна інженерія
Зловмисник, ймовірно, контролює кілька облікових записів GitHub для Fork шкідливих проектів і збільшення їх кількості зірок, щоб підвищити довіру та привабливість проекту.
Атака з кількома версіями
Дослідження також виявило, що зловмисники використовували кілька версій шкідливих пакетів, включаючи "bs58-encrypt-utils" та інші, щоб підвищити ймовірність успіху та тривалість атаки.
Рух коштів
За допомогою інструментів аналізу блокчейн було відстежено, що частина вкрадених коштів була переведена на певну криптовалютну біржу.
Рекомендації щодо захисту
Обережно ставтеся до проектів на GitHub з невідомим джерелом, особливо тих, що стосуються гаманців або Закритих ключів.
Запустіть і налагодьте невідомий проект в незалежному середовищі без чутливих даних.
Регулярно перевіряйте залежності проекту, будьте обережні з аномальними версіями пакетів або посиланнями для завантаження.
Використовуйте надійні інструменти та послуги безпеки, регулярно скануючи вразливості системи.
Підтримуйте своє програмне забезпечення та безпекові патчі в актуальному стані.
Ця подія ще раз нагадує нам про важливість усвідомлення безпеки та заходів захисту в швидко розвиваючійся екосистемі Web3. Розробники та користувачі повинні залишатися вкрай пильними і спільно підтримувати безпеку екосистеми.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
19 лайків
Нагородити
19
6
Поділіться
Прокоментувати
0/400
SlowLearnerWang
· 07-18 12:28
Знову спізнився. Тільки що дізнався, що sol був вкрадений. Потрібно ще подивитися, чи є в мене Закритий ключ.
Solana зазнала серйозної безпекової події: зловмисний NPM пакет викрав користувацькі Закриті ключі
Екосистема Solana зазнала серйозної безпекової події: зловмисний пакет NPM вкраде закриті ключі користувачів
На початку липня 2025 року екосистема Solana зазнала серйозної безпекової події. Один користувач, після використання відкритого проекту, розміщеного на GitHub, виявив, що його криптоактиви були вкрадені. Після детального розслідування безпековими експертами, було виявлено ретельно продуману ланцюг атак, що включала шкідливі пакети NPM, маскувальні відкриті проекти та кілька скоординованих облікових записів GitHub.
Причини події
Подія виникла з проекту на GitHub під назвою "solana-pumpfun-bot". Цей проект на перший погляд є інструментом для екосистеми Solana на базі Node.js, але насправді містить шкідливий код. Кількість Star та Fork цього проекту аномально висока, але часи внесення змін до коду зосереджені в короткий проміжок часу, що свідчить про відсутність постійних оновлень.
Аналіз методів атаки
Дослідження виявило, що проект залежав від підозрілого NPM-пакету під назвою "crypto-layout-utils". Цей пакет було знято з офіційного сайту, але зловмисники, змінюючи файл package-lock.json, перенаправили посилання на завантаження на свій контрольований репозиторій GitHub.
Завантажений шкідливий пакет використовував高度 обфускації, що ускладнює аналіз. Після деобфускації виявлено, що цей пакет сканує чутливі файли на комп'ютері користувача, шукаючи інформацію про закритий ключ гаманця та інше, і завантажує її на сервер, контрольований зловмисником.
Зловмисник, ймовірно, контролює кілька облікових записів GitHub для Fork шкідливих проектів і збільшення їх кількості зірок, щоб підвищити довіру та привабливість проекту.
Дослідження також виявило, що зловмисники використовували кілька версій шкідливих пакетів, включаючи "bs58-encrypt-utils" та інші, щоб підвищити ймовірність успіху та тривалість атаки.
Рух коштів
За допомогою інструментів аналізу блокчейн було відстежено, що частина вкрадених коштів була переведена на певну криптовалютну біржу.
Рекомендації щодо захисту
Обережно ставтеся до проектів на GitHub з невідомим джерелом, особливо тих, що стосуються гаманців або Закритих ключів.
Запустіть і налагодьте невідомий проект в незалежному середовищі без чутливих даних.
Регулярно перевіряйте залежності проекту, будьте обережні з аномальними версіями пакетів або посиланнями для завантаження.
Використовуйте надійні інструменти та послуги безпеки, регулярно скануючи вразливості системи.
Підтримуйте своє програмне забезпечення та безпекові патчі в актуальному стані.
Ця подія ще раз нагадує нам про важливість усвідомлення безпеки та заходів захисту в швидко розвиваючійся екосистемі Web3. Розробники та користувачі повинні залишатися вкрай пильними і спільно підтримувати безпеку екосистеми.