Solana 生態開發團隊 Anza 的核心開發者 trent.sol 於今晨在 X 上發文披露,Solana 開發者生態系統中常用的 JavaScript(JS)庫「solana/web3.js」 版本1.95.6 和 1.95.7 遭到惡意修改。據悉,攻擊者利用漏洞發佈了未經授權且帶有惡意代碼的版本,該代碼被修改以竊取私鑰信息,並從直接處理私鑰的應用(如自動交易機器人、錢包運營商等)中盜取資金。
trent.sol 呼籲:
「如果您或您的產品正在使用這兩個版本,請立即升級到 1.95.8 版本(1.95.5 版本不受影響)。此外,如果您運行的服務可以封鎖地址,請將 FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx 列入黑名單並採取必要行動。」
該消息發布後,包含 Phantom、Solfare、Backpack 和 Glow Wallet 等主流都出面表示未受影響。
Phantom is not impacted by this vulnerability.Our Security Team confirms that we have never used the exploited versions of @solana/web3.js https://t.co/9wHZ4cnwa1
— Phantom (@phantom) December 3, 2024
但有在使用自動交易機器人服務或其他錢包的用戶務必向運營商確認潛在風險或立即轉移資金。
Source