来源：慢雾科技
原文链接：https://mp.weixin.qq.com/s/Tu5queqqz874swt6znwbtA
---------------------------------------------------------------
背景
在 2025 年 7 月初，慢雾安全团队接到一名受害用户的求助，请求协助分析其加密资产被盗的原因。调查发现，事件源于该用户使用了一个托管在 ...

<div><p>来源：<a href="https://www.bitpush.news/articles/tag/%e6%85%a2%e9%9b%be%e7%a7%91%e6%8a%80" title="查看慢雾科技中的全部文章" rel="nofollow">慢雾科技</a><br>原文链接：https://mp.weixin.qq.com/s/Tu5queqqz874swt6znwbtA</p><hr><p><strong>背景</strong></p><p>在 2025 年 7 月初，慢雾安全团队接到一名受害用户的求助，请求协助分析其加密资产被盗的原因。调查发现，事件源于该用户使用了一个托管在 GitHub 上的开源项目 zldp2002/solana-pumpfun-bot，进而触发了隐蔽的盗币行为，详情见<a href="https://mp.weixin.qq.com/s?__biz=MzU4ODQ3NTM2OA==&amp;mid=2247502589&amp;idx=1&amp;sn=75c7f110d5889e8f90ccee2855aa90cd&amp;scene=21#wechat_redirect" rel="nofollow">GitHub 热门 Solana 工具暗藏盗币陷阱</a>。</p><p>近期，又有用户因使用类似的开源项目 —— audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot，导致加密资产被盗，并联系到慢雾安全团队。对此，团队进一步深入分析了该攻击手法。</p><p><strong>分析过程</strong></p><p><strong>静态分析</strong></p><p><span>我们首先通过静态分析的方式，寻找攻击者设置的陷阱。经分析，发现可疑代码位于 </span><span>/src/common/config.rs</span><span> 配置文件中，主要集中在 </span><span>create_coingecko_proxy()</span><span> 方法内：</span></p><p><section><img src="https://images.bitpush.news/cn/20250722/175317893920091714" alt="图片"></section><section>从代码可见，create_coingecko_proxy() 方法首先调用了 import_wallet()，该方法进一步调用 import_env_var() 来获取私钥。</section><section><img src="https://images.bitpush.news/cn/20250722/175317893936113773" alt="图片"></section></p><p>在 import_env_var() 方法中，主要用于获取 .env 文件中的环境变量配置信息。</p><p>调用过程中，如果环境变量存在，则直接返回；若不存在，则进入 Err(e) 分支，打印错误信息。由于存在无退出条件的 loop {} 循环，会导致资源持续消耗。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317893982992886" alt="图片"></section><section>PRIVATE_KEY（私钥）等敏感信息也存储在 .env 文件中。</section><section><img src="https://images.bitpush.news/cn/20250722/175317893941750507" alt="图片"></section></p><p>回到 import_wallet() 方法，当其中调用 import_env_var() 获取到 PRIVATE_KEY（私钥）后，恶意代码会对私钥长度进行判断：</p><ul><li><p>若私钥长度小于 85，恶意程序将打印错误信息，并由于存在无退出条件的 loop {} 循环，会导致资源持续消耗，恶意程序无法正常退出；</p></li><li><p>若私钥长度大于 85，则使用 Solana SDK 将该 Base58 字符串转换为 Keypair 对象，其中包含私钥信息。</p></li></ul><p>随后，恶意代码使用 Arc 对私钥信息进行封装，以支持多线程共享。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317893979452496" alt="图片"></section></p><p>回到 create_coingecko_proxy() 方法，在成功获取私钥信息后，恶意代码接着对恶意 URL 地址进行解码。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317893970591284" alt="图片"></section></p><p>该方法首先获取编码后的 HELIUS_PROXY（攻击者服务器地址）这一硬编码常量。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317893996896632" alt="图片"></section></p><p>随后，恶意代码使用 bs58 对 HELIUS_PROXY（攻击者服务器地址）进行解码，将解码结果转换为字节数组，并通过 from_utf8() 将该字节数组进一步转为 UTF-8 字符串。</p><p>通过编写脚本可还原出 HELIUS_PROXY 解码后的真实地址如下：</p><p><section><pre>http://103.35.189.28:5000/api/wallets</pre></section></p><p>恶意代码在成功解码出 URL (http://103.35.189.28:5000/api/wallets) 后，首先创建一个 HTTP 客户端，将获取到的私钥信息 payer 使用 to_base58_string() 转换为 Base58 字符串。</p><p>随后，恶意代码构造 JSON 请求体，并将转换后的私钥信息封装其中，通过构建 POST 请求，将私钥等数据发送至上述 URL 所指向的服务器，同时忽略响应结果。</p><p>无论服务器返回何种结果，恶意代码仍会继续运行，以避免引起用户察觉。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894050411154" alt="图片"></section></p><p>此外，create_coingecko_proxy() 方法中还包含获取价格等正常功能，用以掩盖其恶意行为；该方法名称本身也经过伪装，具有一定的迷惑性。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894089150779" alt="图片"></section></p><p>通过分析可知，create_coingecko_proxy() 方法在应用启动时被调用，具体位于 main.rs 中 main() 方法的配置文件初始化阶段。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894028546585" alt="图片"></section></p><p>在配置文件 src/common/config.rs 的 new() 方法中，恶意代码首先加载 .env 文件，随后调用 create_coingecko_proxy() 方法。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894085446952" alt="图片"></section></p><p>据分析，该服务器的 IP 地址位于美国。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894058792903" alt="图片"></section></p><p>(https://www.virustotal.com/gui/ip-address/103.35.189.28)</p><p>观察到该项目在 GitHub 上于近期（2025 年 7 月 17 日）进行了更新，主要更改集中在 src 目录下的配置文件 config.rs 中。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894016159153" alt="图片"></section></p><p>在 src/common/config.rs 文件中，可以看到 HELIUS_PROXY（攻击者服务器地址）的原地址编码已被替换为新的编码。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894061755664" alt="图片"></section></p><p>使用脚本对原地址编码进行解码后，可获得原服务器地址。</p><p><section><pre>// 原地址编码 HELIUS_PROXY： 2HeX3Zi2vTf1saVKAcNmf3zsXDkjohjk3h7AsnBxbzCkgTY99X5jomSUkBCW7wodoq29Y// 解码得到的原服务器地址https://storebackend-qpq3.onrender.com/api/wallets</pre></section></p><p><strong>动态分析</strong></p><p>为了更直观地观察恶意代码的盗窃过程，我们采用动态分析方法，编写了一个 Python 脚本，用于生成测试用的 Solana 公私钥对。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894087281511" alt="图片"></section></p><p>同时，我们在服务器上搭建了一个能够接收 POST 请求的 HTTP 服务器。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894197971352" alt="图片"></section></p><p>编写 Python 脚本生成测试服务器对应的编码，并将其替换原攻击者设置的恶意服务器地址编码，即 HELIUS_PROXY（攻击者服务器地址）处。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894158127216" alt="图片"></section></p><p>随后，将 .env 文件中的 PRIVATE_KEY（私钥）替换为刚生成的测试私钥。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894172778743" alt="图片"></section></p><p>接下来，启动恶意代码并观察服务器端接口的响应。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894175671164" alt="图片"></section></p><p>我们可以看到，测试服务器成功接收到了恶意项目发送的 JSON 数据，其中包含 PRIVATE_KEY（私钥）信息。</p><p><section><img src="https://images.bitpush.news/cn/20250722/175317894191149109" alt="图片"></section></p><p><strong>入侵指标(IoCs)</strong><br></p><p>IPs：</p><p>103.35.189.28</p><p>Domains：</p><p>storebackend-qpq3.onrender.com</p><p>SHA256：</p><ul><li><p>07f0364171627729788797bb37e0170a06a787a479666abf8c80736722bb79e8 – pumpfun-pumpswap-sniper-copy-trading-bot-master.zip</p></li><li><p>ace4b1fc4290d6ffd7da0fa943625b3a852190f0aa8d44b93623423299809e48 – pumpfun-pumpswap-sniper-copy-trading-bot-master/src/common/config.rs</p></li></ul><ul></ul><p>恶意仓库：</p><p>https://github.com/audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot</p><p>类似实现手法：</p><ul><li><p>https://github.com/BitFancy/Solana-MEV-Bot-Optimized</p></li><li><p>https://github.com/0xTan1319/solana-copytrading-bot-rust</p></li><li><p>https://github.com/blacklabelecom/SAB-4</p></li><li><p>https://github.com/FaceOFWood/SniperBot-Solana-PumpSwap</p></li><li><p>https://github.com/Alemoore/Solana-MEV-Bot-Optimized</p></li><li><p>https://github.com/TopTrenDev/Raypump-Executioner-Bot</p></li><li><p>https://github.com/deniyuda348/Solana-Arbitrage-Bot-Flash-Loan</p></li></ul><p><strong>总结</strong></p><h1></h1><p>本次分享的攻击手法中，攻击者通过伪装成合法开源项目，诱导用户下载并执行该恶意代码。该项目会从本地读取 .env 文件中的敏感信息，并将盗取的私钥传输至攻击者控制的服务器。这类攻击通常结合社会工程学技术，用户稍有不慎便可能中招。</p><p>我们建议开发者与用户对来路不明的 GitHub 项目保持高度警惕，尤其是在涉及钱包或私钥操作时。如确需运行或调试，建议在独立且无敏感数据的环境中进行，避免执行来源不明的恶意程序和命令。</p><p>更多安全知识可参考慢雾(SlowMist)出品的《区块链黑暗森林自救手册》：</p><p>https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md</p><ins></ins></div>

威胁情报：Solana 开源机器人盗币分析

Bối cảnh
Vào đầu tháng 7 năm 2025, đội ngũ an ninh SlowMist nhận được sự trợ giúp từ một người dùng bị hại, yêu cầu hỗ trợ phân tích nguyên nhân mất cắp crypto tài sản của họ. Cuộc điều tra phát hiện ra rằng sự việc xuất phát từ việc người dùng này đã sử dụng một dịch vụ được lưu trữ tại ...

<div><p>Nguồn: <a href="https://www.bitpush.news/articles/tag/%e6%85%a2%e9%9b%fe%e7%a7%91%e6%8a%80" title="Xem tất cả các bài viết của SlowMist" rel="nofollow">SlowMist</a><br>Liên kết bài gốc: https://mp.weixin.qq.com/s/Tu5queqqz874swt6znwbtA</p><hr><p><strong>Bối cảnh</strong></p><p>Vào đầu tháng 7 năm 2025, đội ngũ an ninh SlowMist nhận được yêu cầu hỗ trợ từ một người dùng bị hại, yêu cầu hỗ trợ phân tích nguyên nhân mất tài sản crypto. Điều tra cho thấy sự cố xuất phát từ việc người dùng sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub là zldp2002/solana-pumpfun-bot, từ đó kích hoạt hành vi đánh cắp tiền ẩn giấu, chi tiết xem tại <a href="https://mp.weixin.qq.com/s?__biz=MzU4ODQ3NTM2OA==&amp;mid=2247502589&amp;idx=1&amp;sn=75c7f110d5889e8f90ccee2855aa90cd&amp;scene=21#wechat_redirect" rel="nofollow">Công cụ Solana phổ biến trên GitHub ẩn chứa bẫy đánh cắp tiền</a>.</p><p>Gần đây, lại có người dùng mất tài sản crypto do sử dụng một dự án mã nguồn mở tương tự - audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot, và liên hệ với đội ngũ an ninh SlowMist. Về vấn đề này, đội ngũ đã tiến hành phân tích sâu hơn về phương thức tấn công này.</p><p><strong>Quá trình phân tích</strong></p><p><strong>Phân tích tĩnh</strong></p><p><span>Đầu tiên, chúng tôi sử dụng phương pháp phân tích tĩnh để tìm kiếm bẫy do kẻ tấn công thiết lập. Qua phân tích, chúng tôi phát hiện mã đáng ngờ nằm trong tệp cấu hình </span><span>/src/common/config.rs</span><span>, tập trung chủ yếu trong phương thức </span><span>create_coingecko_proxy()</span><span>:</span></p>

(Phần còn lại của văn bản được dịch tương tự, giữ nguyên các thẻ HTML và các từ chuyên môn như đã được hướng dẫn ban đầu)</p><h1></h1><p>Trong phương thức tấn công được chia sẻ lần này, kẻ tấn công giả mạo một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và thực thi mã độc hại. Dự án này sẽ đọc các thông tin nhạy cảm từ tệp .env trên máy local và truyền các private key bị đánh cắp đến máy chủ do kẻ tấn công kiểm soát. Các loại tấn công này thường kết hợp với kỹ thuật kỹ thuật xã hội, người dùng chỉ cần sơ ý là có thể trở thành nạn nhân.</p><p>Chúng tôi khuyến nghị các nhà phát triển và người dùng phải cảnh giác cao độ với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là những dự án liên quan đến thao tác ví hoặc private key. Nếu cần chạy hoặc gỡ lỗi, chúng tôi khuyến nghị thực hiện trong môi trường độc lập và không chứa dữ liệu nhạy cảm, tránh thực thi các chương trình và lệnh có nguồn gốc không rõ.</p><p>Để biết thêm kiến thức an ninh, vui lòng tham khảo sổ tay "Khu rừng tối của blockchain" do SlowMist xuất bản:</p><p>https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md</p><ins></ins></div>

Threat Intelligence: Phân tích robot mã nguồn mở Solana đánh cắp tiền điện tử

Vitalik Buterin, người sáng lập Ethereum (ETH), tiếp tục bán ra các altcoin có khối lượng giao dịch thấp được gửi vào ví của ông.
Trong hai ngày qua, Buterin đã bán tổng cộng 114.500 KNC, 30,57 triệu STRAYDOG và 1,05 tỷ...

Dữ liệu trên chuỗi cho thấy nhà sáng lập Ethereum, Vitalik Buterin, đã bán ba loại altcoin.

Nếu bạn kiên trì và tìm ra điểm mạnh của mình, bạn sẽ được đền đáp.
Tác giả bài viết: 0xJeff
Nguồn bài viết: TechFlow TechFlow
Năm 2025 đầy rẫy những biến động và thay đổi chưa từng có. Chúng ta chào đón một vị tổng thống Mỹ được cho là ủng hộ crypto và trí tuệ nhân tạo. Tuy nhiên, thay vì một thị trường thị trường bò như kỳ vọng, năm 2025 lại trở thành một năm "thảm sát" đối với toàn bộ ngành công nghiệp này.
Hầu hết Altcoin đều trải qua đợt giảm giá mạnh từ 80% đến 99% trong năm 2025.
Chiếm tỷ lệ giá trị vốn hóa thị trường Bitcoin đã quay trở lại mức của năm 2019-2020 (hơn 6...).

7 xu hướng và bài học crypto bạn cần biết trong năm 2026

Nguồn: Arthur Hayes, Người sáng lập BitMEX; Dịch bởi: Jinse Finance
Nếu tôi có một hồ sơ hẹn hò trực tuyến, nó có lẽ sẽ trông giống như thế này:
Các chính trị gia và quan chức ngân hàng trung ương Ireland đã tạo ra những từ ngữ uyển chuyển và viết tắt để mô tả hành động in tiền.
Bài viết này sẽ tập trung vào hai ví dụ điển hình:
Chính sách nới lỏng định lượng (QE)
Mua sắm quản lý dự trữ (RMP)
Từ viết tắt mới RMP xuất phát từ cuộc họp về lãi suất gần đây nhất Cục dự trữ liên bang Hoa Kỳ vào ngày 10 tháng 12...