Phantom ha confirmado que no se ha visto afectado por una vulnerabilidad descubierta en la biblioteca de Solana, es decir, Solana/web3.js.

Phantom, un proveedor de billeteras que opera en la blockchain de Solana (SOL), confirmó que está a salvo después de que se descubriera una vulnerabilidad reciente en la biblioteca Solana/Web3.js. Según un comunicado publicado en X, el equipo de seguridad de Phantom verificó que las versiones comprometidas de la biblioteca - 1.95.6 y 1.95.7 - nunca se utilizarán en su infraestructura, asegurando a sus usuarios que su plataforma está asegurada.

cualquiera que utilice @solana/web3.js, las versiones 1.95.6 y 1.95.7 están comprometidas con un ladrón secreto que filtra claves privadas. si tú o tu producto están usando estas versiones, actualízate a 1.95.8 (1.95.5 no está afectada) si gestionas un servicio que puede bloquear direcciones, haz lo que tengas que hacer con…

— trent.sol (@trentdotsol) 3 de diciembre de 2024

No utilice las versiones @solana/web3.js 1.95.6 y 1.95.7, escribe Trent.sol en su perfil de X.

También te puede gustar: El fundador de Celcius se declara culpable de cargos de fraude

Hoy más temprano, Trent Sol, un desarrollador de Solana, advirtió a los usuarios sobre la biblioteca comprometida. Informó a los usuarios que estas versiones podrían poner a los usuarios en riesgo de ataques de ladrones secretos, que son capaces de filtrar claves privadas utilizadas para acceder y asegurar billeteras. Los productos y desarrolladores que usan las versiones comprometidas deberían actualizar a la versión 1.95.8, instó Trent. Sin embargo, versiones anteriores, como la 1.95.5, permanecen no afectadas por los problemas.

Phantom no se ve afectado por esta vulnerabilidad. Nuestro equipo de seguridad confirma que nunca hemos utilizado las versiones explotadas de @solana/web3.js https://t.co/9wHZ4cnwa1

— Phantom (@phantom) 3 de diciembre de 2024

Phantom reconoce que está a salvo de las vulnerabilidades de solana/web3.js. El ecosistema de Solana aborda la vulnerabilidad de Web3.js

El ecosistema de Solana ha sido rápido en responder para abordar la vulnerabilidad. Proyectos importantes como Drift, Phantom y Solflare han informado a sus comunidades que no se ven afectados, ya que o no utilizan la versión comprometida o tienen otras medidas de seguridad que los mantienen a salvo. Se insta también a los desarrolladores y proyectos del ecosistema a revisar sus dependencias y actualizar sus bibliotecas para garantizar que los fondos y los datos se mantengan seguros.

Aumento en las vulnerabilidades

La divulgación de vulnerabilidad de Trent Sol refleja un desafío mayor de seguridad que los ecosistemas de blockchain a menudo tienen que enfrentar. El análisis forense muestra que las versiones defectuosas de la biblioteca contenían comandos ocultos destinados a capturar y transmitir claves privadas a una billetera llamada FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx. El investigador de seguridad en la nube Christophe Tafani-Dereeper de Datadog subrayó la sofisticación de la puerta trasera en Bluesky.

Exclusivo: La puerta trasera insertada en la v1.95.7 añade una función "addToQueue" que exfiltra la clave privada a través de encabezados aparentemente legítimos de CloudFlare. Las llamadas a esta función se insertan luego en varios lugares que (legítimamente) acceden a la clave privada.

— Christophe Tafani-Dereeper (@christophetd.fr) 2024-12-03T23:47:18.004Z

El desarrollador Tafani-Dereeper realiza un análisis forense de las vulnerabilidades de solana/web3.js.

También te puede gustar: ‘Bitcoin Jesús’ Roger Ver lucha contra la acusación y acusa al gobierno de EE.UU. de abuso de poder

Tales riesgos se han vuelto cada vez más comunes, como lo evidencia un incidente de paquete malicioso a principios de este año, reportado por The Hacker News, que involucró al Índice de Paquetes de Python, comúnmente conocido como PyPl. El paquete, “solana-py“, se disfrazó como la API de Python legítima de Solana para robar claves de billeteras de Solana y exfiltrarlas a un servidor controlado por un atacante. También explotó similitudes en los nombres para engañar a los desarrolladores, llevando a 1,122 descargas antes de su eliminación.

Lee más: Lo que DePIN hizo mal y cómo solucionarlo | Opinión