Selon les nouvelles de Deep Tide TechFlow, le 4 décembre, Slow Mist Cosine a publié sur X en disant : "Attention à l'empoisonnement de la chaîne d'approvisionnement de @solana/web3.js, les versions connues 1.95.6 et 1.95.7 contiennent du code malveillant qui peut voler les clés privées des utilisateurs. La nouvelle version ne présente plus ce risque. Les portefeuilles connus n'ont pas détecté ce risque, mais des attaques réelles se sont produites."
Il se peut que la conjecture cosinus soit liée à des outils de clés privées tiers (y compris des bots) qui mettent à jour les paquets de dépendances de manière plus opportune, car la version empoisonnée n'a survécu que quelques heures avant d'être rapidement détectée et retirée. Si les utilisateurs utilisent ce paquet, ils doivent faire attention à vérifier.
Précédemment, les utilisateurs de la communauté ont signalé que les versions 1.95.6 et 1.95.7 de @solana/web3.js ont été confirmées comme ayant des vulnérabilités de sécurité. Si le service exploité par les utilisateurs a une fonctionnalité de liste noire d'adresses, il est nécessaire d'ajouter l'adresse suivante à la liste noire : FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx.
