吴说获悉，据慢雾创始人余弦消息，@solana/web3.js 的 1.95.6 和 1.95.7 版本被发现存在供应链投毒问题，嵌入的后门代码会窃取用户私钥。虽然这两个版本仅存活了数小时便被移除，但已发生真实攻击事件。当前未在知名钱包中发现该风险，但可能影响到及时更新依赖的第三方私钥管理工具或自动化 bot 用户。建议相关开发者立即排查是否使用了受影响的版本，并更新至最新安全版本。