Cosine: Frühere Versionen von @solana/web3.js weisen Sicherheitsanfälligkeiten auf, es besteht das Risiko einer Offenlegung privater Schlüssel der Nutzer.

Nachricht von Deep Tide TechFlow: Am 4. Dezember äußerte Slow Mist auf X: „Achtung vor der Lieferkettenvergiftung von @solana/web3.js. Die bekannten Versionen 1.95.6 und 1.95.7 enthalten Hintertüren, die die privaten Schlüssel der Nutzer stehlen können. Die neue Version hat dieses Risiko nicht mehr. Es wurde festgestellt, dass bekannte Wallets dieses Risiko nicht aufweisen, aber echte Angriffe haben stattgefunden.“

Es wird vermutet, dass möglicherweise Drittanbieter-Tools (einschließlich Bots), die auf aktualisierte Abhängigkeiten angewiesen sind, betroffen sind, da die vergiftete Version nur einige Stunden überlebt hat, bevor sie schnell entdeckt und entfernt wurde. Wenn Nutzer dieses Paket verwenden, sollten sie auf mögliche Probleme achten.

Frühere Rückmeldungen von Community-Nutzern haben bestätigt, dass die Versionen 1.95.6 und 1.95.7 von @solana/web3.js Sicherheitsanfälligkeiten aufweisen. Wenn die Dienste der Nutzer über eine Adresssperrliste verfügen, müssen die folgenden Adressen gesperrt werden: FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx.