Solana Web3.js 库在有针对性的供应链攻击中遭到破坏

根据 Solscan 的数据，这次漏洞导致 16 万美元的资产被盗，其中包括 SOL 代币和其他加密资产。

一次重大的供应链攻击影响了Solana生态系统，攻击目标是 @solana/web3.js JavaScript 库，这是开发人员在 Solana 区块链上创建去中心化应用程序（dApps）所依赖的重要工具。

12 月 2 日，黑客进入了一名维护 @solana/web3.js 库的开发人员的账户。这是一个每周被 Solana 应用开发者下载超过 35 万次的工具。

黑客入侵了 1.95.6 和 1.95.7 版本，嵌入了恶意代码，导致私钥外泄和资金流失。根据 Solscan 的数据，这次漏洞导致 16 万美元的资产被盗，其中包括 SOL 代币和其他加密资产。

专注于 Solana 的开发团队 Anza 周二披露了这起漏洞事件，称该漏洞发生时，npm 上一个发布访问该库的账户被入侵。

攻击者引入了未经授权的更新，其中包含一个后门，可将私钥数据传输到一个硬编码地址。这些恶意版本在数小时后从 npm 上删除之前就已被下载。

这次攻击影响了在 12 月 2 日UTC 下午 3:20 至 8:25 更新库的开发人员，尤其是那些使用依赖私钥的后端系统或机器人的开发人员。

利用这种访问权限，攻击者上传了经过修改的库版本（1.95.6 和 1.95.7），其中包含将私钥秘密发送到黑客控制地址的代码。这些密钥允许黑客从使用被入侵库的应用程序中窃取资金。

这类事件被称为供应链攻击，黑客篡改开发人员依赖的软件，广泛传播恶意代码。

下载并集成这些版本库的项目或系统在不知情的情况下成为漏洞的受害者。

在一份公开声明中，使用最广泛的 Solana 钱包之一 Phantom 证实，它从未使用过被入侵的版本库，以确保其用户不受影响。

同样，Solflare 和其他关键项目（如 Drift 和 Backpack）也向其社区保证，强大的安全措施防止了任何泄露。

在受影响版本中依赖私钥操作的开发人员是主要受害者，但最终用户基本上没有受到影响。

Solana 社区的知名人士澄清说，这次攻击并没有危及 Solana 区块链本身。

漏洞发生后，开发者被敦促立即更新到 1.95.8 版本的库，审计他们的项目是否依赖于受影响的版本，并轮换和重新生成私钥，以减少进一步的损失。

npm 随后删除了受影响的版本，并推荐开发人员使用 Socket 等工具来检测其软件源中的漏洞。

这一漏洞是令人担忧的供应链攻击趋势的一部分，黑客利用广泛使用的软件工具来攻击更多的人。

Cyverse公司高级区块链科学家哈坎-乌纳尔（Hakan Unal）告诉Decrypt 说："最近的Solana库供应链攻击凸显了现代软件开发中的一个关键问题：第三方依赖的安全性。"

"Unal 补充说："这些依赖关系--集成到更大项目中的开源库或组件--被广泛用于加速开发。"然而，如果管理不慎，它们可能成为恶意行为者的载体，尤其是在资本收益较高的加密领域，需要制定严格的标准。"

最近的一次类似攻击影响了广泛用于网络动画的 Lottie Player JavaScript 库。黑客在其 npm 软件包中嵌入了恶意代码，造成的加密货币损失超过 72.3 万美元。

在这种情况下，访问被攻击网站的用户在不知情的情况下签署了由攻击者控制的虚假钱包连接提示，从而获得了他们的资金。

编辑：Stacy Elliott

More News

• All
• CT
• Coindesk
• Decrypt
• DLNews