- Serangan menjejaskan perpustakaan web3.js dan mencuri mata wang kripto
- Versi 1.95.6 dan 1.95.7 telah diubah dengan kod hasad
- Kemas kini kepada versi 1.95.8 adalah penting untuk keselamatan
Pada 2 Disember 2024, kecacatan serius menjejaskan keselamatan pustaka JavaScript @solana/web3.js, digunakan secara meluas dalam pembangunan aplikasi terdesentralisasi (dApps) berdasarkan blok blok Solana. Serangan rantaian bekalan membenarkan penyerang memperkenalkan kod berniat jahat dalam versi 1.95.6 dan 1.95.7, mengakibatkan kecurian kunci persendirian dan kehilangan lebih daripada $160.000 dalam mata wang kripto, menurut data daripada Solscan.
Sesiapa sahaja yang menggunakan @solana/web3.js, versi 1.95.6 dan 1.95.7 dikompromi dengan pencuri rahsia yang membocorkan kunci peribadi. jika anda atau produk anda menggunakan versi ini, naik taraf kepada 1.95.8 (1.95.5 tidak terjejas)
jika anda menjalankan perkhidmatan yang boleh menyenaraihitamkan alamat, lakukan perkara anda dengan…
— trent.sol (@trentdotsol) Disember 3, 2024
Mereka yang bertanggungjawab untuk serangan itu mendapat akses kepada bukti kelayakan akaun dengan kebenaran penerbitan pada pendaftaran npm, platform tempat perpustakaan dihoskan. Daripada ini, mereka menerbitkan versi diubah perpustakaan yang mengandungi fungsi 'addToQueue' yang berniat jahat. Fungsi ini menangkap maklumat kunci peribadi dan menghantarnya ke pelayan yang dikawal oleh penyerang, menyamarkan trafik dalam pengepala Cloudflare yang kelihatan sah.
Pada masa penerbitan, harga Solana disebut pada AS$230,19, naik 2.5% dalam tempoh 24 jam yang lalu.
Kesan dan Tindak Balas Komuniti
Serangan itu dikenal pasti dengan cepat dan versi yang dikompromi telah dialih keluar daripada npm dalam masa lima jam. Kemas kini bersih, versi 1.95.8, telah diterbitkan untuk menggantikan versi yang terjejas. Insiden itu menjejaskan terutamanya pembangun yang meningkatkan kepada versi yang terjejas dalam julat 3:20 PM UTC hingga 8:25 PM UTC pada 2 Disember.
Steven Luscher, salah seorang penyelenggara perpustakaan, menjelaskan bahawa "ini bukan isu dengan protokol Solana, tetapi dengan perpustakaan klien JavaScript tertentu." Beliau menekankan bahawa insiden itu terhad kepada projek yang secara langsung berurusan dengan kunci persendirian, seperti bot dan sistem belakang. Dompet bukan penjagaan seperti Phantom dan Solflare mengesahkan bahawa mereka tidak terjejas, meyakinkan pengguna mereka tentang keselamatan dana mereka.
Langkah Keselamatan yang Disyorkan
Serangan rantaian bekalan seperti ini menunjukkan risiko bergantung pada kebergantungan luar tanpa audit tetap. Komuniti Solana telah menggesa pembangun untuk segera mengemas kini kepada versi 1.95.8 dan menjalankan semakan menyeluruh terhadap projek mereka, terutamanya yang bergantung pada versi perpustakaan yang lebih lama. Putaran semua kunci peribadi yang berpotensi terjejas juga disyorkan.
Amalan seperti mengekalkan senarai kebergantungan yang diaudit, menggunakan alat pemeriksaan kesihatan dan melakukan kemas kini tetap adalah penting untuk mengurangkan serangan serupa. Serangan jenis ini bukan sahaja mengancam pembangun, tetapi juga meletakkan pengguna akhir yang mempercayai keselamatan platform berdasarkan rantaian Solana berisiko.