Noticias de PANews del 4 de diciembre, el fundador de Slow Fog, Yu Xian, emitió una advertencia diciendo que las versiones 1.95.6 y 1.95.7 de la biblioteca @solana/web3.js han experimentado un incidente de envenenamiento de la cadena de suministro, donde se ha encontrado código de puerta trasera que puede robar las claves privadas de los usuarios. Actualmente, la nueva versión ha corregido esta vulnerabilidad de seguridad y no se ha encontrado impacto en las billeteras conocidas y de uso común.
Se ha informado que ya han ocurrido casos de ataques reales. Dado que la versión maliciosa solo sobrevivió unas pocas horas antes de ser detectada y retirada, las víctimas pueden ser herramientas o bots relacionados con claves privadas de terceros que actualizan sus paquetes de dependencia a tiempo. Yu Xian recuerda a los desarrolladores que deben verificar a tiempo las versiones de los paquetes de dependencia utilizados en sus proyectos.
