作者：Joker&Thinking

編輯：KrsMt.

背景

在2025 年7 月初，慢霧安全團隊接獲一名受害用戶的求助，請求協助分析其加密資產被竊的原因。調查發現，事件源自於該用戶使用了託管在GitHub 上的開源專案zldp2002/solana-pumpfun-bot，進而觸發了隱藏的盜幣行為，詳情請見GitHub 熱門Solana 工具來隱藏盜幣陷阱。

近期，又有用戶因使用類似的開源專案－ audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot，導致加密資產被盜，並聯繫慢霧安全團隊。對此，團隊進一步深入分析了該攻擊手法。

分析過程

靜態分析

我們先透過靜態分析的方式，尋找攻擊者設定的陷阱。經分析，發現可疑程式碼位於/src/common/config.rs設定檔中，主要集中在create_coingecko_proxy()方法內：

從程式碼可見，create_coingecko_proxy() 方法首先呼叫了import_wallet()，該方法進一步呼叫import_env_var() 來取得私鑰。

在import_env_var() 方法中，主要用於取得.env 檔案中的環境變數配置資訊。

在呼叫過程中，如果環境變數存在，則直接返回；若不存在，則進入Err(e) 分支，列印錯誤訊息。由於存在無退出條件的loop {} 循環，會導致資源持續消耗。

PRIVATE_KEY（私鑰）等敏感資訊也儲存在.env檔案中。

回到import_wallet() 方法，當其中呼叫import_env_var() 取得到PRIVATE_KEY（私鑰）後，惡意程式碼會對私鑰長度進行判斷：

• 若私鑰長度小於85，惡意程式將列印錯誤訊息，並由於存在無退出條件的loop {} 循環，會導致資源持續消耗，惡意程式無法正常退出；
• 若私鑰長度大於85，則使用Solana SDK 將該Base58 字串轉換為Keypair 對象，其中包含私鑰資訊。

隨後，惡意程式碼使用Arc 對私鑰資訊進行封裝，以支援多執行緒共用。

回到create_coingecko_proxy() 方法，在成功取得私鑰資訊後，惡意程式碼接著對惡意URL 位址進行解碼。

此方法首先取得編碼後的HELIUS_PROXY（攻擊者伺服器位址）此硬編碼常數。

隨後，惡意程式碼使用bs58 對HELIUS_PROXY（攻擊者伺服器位址）進行解碼，將解碼結果轉換為位元組數組，並透過from_utf8() 將該位元組數組進一步轉為UTF-8 字串。

透過編寫腳本可還原出HELIUS_PROXY 解碼後的真實位址如下：

http://103.35.189.28:5000/api/wallets

惡意程式碼在成功解碼出URL (http://103.35.189.28:5000/api/wallets) 後，先建立一個HTTP 用戶端，將取得到的私鑰資訊payer 使用to_base58_string() 轉換為Base58 字串。

隨後，惡意程式碼建構JSON 請求體，並將轉換後的私鑰資訊封裝其中，透過建置POST 請求，將私鑰等資料傳送至上述URL 所指向的伺服器，同時忽略回應結果。

無論伺服器傳回何種結果，惡意程式碼仍會繼續運行，以避免引起使用者察覺。

此外，create_coingecko_proxy() 方法中還包含取得價格等正常功能，以掩飾其惡意行為；此方法名稱本身也經過偽裝，具有一定的迷惑性。

透過分析可知，create_coingecko_proxy() 方法在應用程式啟動時被調用，具體位於main.rs 中main() 方法的設定檔初始化階段。

在設定檔src/common/config.rs 的new() 方法中，惡意程式碼首先載入.env 文件，隨後又呼叫create_coingecko_proxy() 方法。

據分析，該伺服器的IP 位址位於美國。

 (https://www.virustotal.com/gui/ip-address/103.35.189.28)

觀察到該專案在GitHub 上於近期（2025 年7 月17 日）進行了更新，主要變更集中在src 目錄下的設定檔config.rs 中。

在src/common/config.rs 檔案中，可以看到HELIUS_PROXY（攻擊者伺服器位址）的原始位址編碼已被替換為新的編碼。

使用腳本對原始位址編碼進行解碼後，可取得原始伺服器位址。

// 原位址編碼HELIUS_PROXY：2HeX3Zi2vTf1saVKAcNmf3zsXDkjohjk3h7AsnBxbzCkgTY99X5jomSUkBCW7wodoq29Y// 解碼得到的原伺服器位址https://allstorebackend-qp3.

動態分析

為了更直觀地觀察惡意程式碼的竊取過程，我們採用動態分析方法，編寫了一個Python 腳本，用於產生測試用的Solana 公私鑰對。

同時，我們在伺服器上搭建了一個能夠接收POST 請求的HTTP 伺服器。

編寫Python 腳本產生測試伺服器對應的編碼，並將其替換原攻擊者設定的惡意伺服器位址編碼，即HELIUS_PROXY（攻擊者伺服器位址）處。

隨後，將.env 檔案中的PRIVATE_KEY（私鑰）替換為剛產生的測試私鑰。

接下來，啟動惡意程式碼並觀察伺服器端介面的回應。

我們可以看到，測試伺服器成功接收了惡意專案發送的JSON 數據，其中包含PRIVATE_KEY（私鑰）資訊。

入侵指標(IoCs)

IPs：

103.35.189.28

Domains：

storebackend-qpq3.onrender.com

SHA256：

• 07f0364171627729788797bb37e0170a06a787a479666abf8c80736722bb79e8 - pumpfun-pumpswap-sniper-copy-trading-botbot-master.zip
• ace4b1fc4290d6ffd7da0fa943625b3a852190f0aa8d44b93623423299809e48 - pumpfun-pumpswap-sniper-copy-trading-bot-master/srs/common/config.

惡意倉庫：

https://github.com/audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot

類似實現手法：

• https://github.com/BitFancy/Solana-MEV-Bot-Optimized
• https://github.com/0xTan1319/solana-copytrading-bot-rust
• https://github.com/blacklabelecom/SAB-4
• https://github.com/FaceOFWood/SniperBot-Solana-PumpSwap
• https://github.com/Alemoore/Solana-MEV-Bot-Optimized
• https://github.com/TopTrenDev/Raypump-Executioner-Bot
• https://github.com/deniyuda348/Solana-Arbitrage-Bot-Flash-Loan

總結

在本分享的攻擊手法中，攻擊者透過偽裝成合法開源項目，誘導使用者下載並執行該惡意程式碼。此專案會從本機讀取.env 檔案中的敏感訊息，並將盜取的私鑰傳輸至攻擊者控制的伺服器。這類攻擊通常結合社會工程技術，使用者稍有不慎便可能中招。

我們建議開發者與用戶對來路不明的GitHub 專案保持高度警惕，尤其是涉及錢包或私鑰操作時。如確需運行或調試，建議在獨立且無敏感資料的環境中進行，避免執行來源不明的惡意程式和命令。