Un significativo attacco alla catena di fornitura ha colpito l'ecosistema Solana, prendendo di mira la libreria JavaScript @solana/web3.js, uno strumento critico su cui gli sviluppatori fanno affidamento per creare applicazioni decentralizzate (dApp) sulla blockchain di Solana.


Il 2 dicembre, gli hacker hanno avuto accesso all'account di un sviluppatore che manteneva la libreria @solana/web3.js. È uno strumento che è stato scaricato più di 350.000 volte a settimana dagli sviluppatori di app di Solana.


Gli hacker hanno compromesso le versioni 1.95.6 e 1.95.7, incorporando codice malevolo che esfiltrava chiavi private e drenava fondi. La violazione ha portato a $160.000 di attivi rubati, inclusi token SOL e altri attivi crittografici, secondo i dati di Solscan.


Il team di sviluppo focalizzato su Solana Anza ha rivelato la violazione martedì dicendo che è avvenuta quando un account con accesso alla pubblicazione per la libreria su npm è stato compromesso.



Gli attaccanti hanno introdotto aggiornamenti non autorizzati contenenti una backdoor che trasmetteva i dati delle chiavi private a un indirizzo hardcoded. Queste versioni malevole sono state scaricate prima di essere rimosse da npm ore dopo.


L'attacco ha colpito gli sviluppatori che hanno aggiornato la libreria tra le 15:20 UTC e le 20:25 UTC del 2 dicembre, in particolare quelli che utilizzavano sistemi backend o bot dipendenti da chiavi private.


Utilizzando questo accesso, gli attaccanti hanno caricato versioni alterate della libreria (1.95.6 e 1.95.7) contenenti codice che inviava segretamente chiavi private a un indirizzo controllato dagli hacker. Queste chiavi hanno permesso agli hacker di rubare fondi dalle applicazioni che utilizzavano la libreria compromessa.


Questo tipo di incidente è chiamato attacco alla catena di fornitura, dove gli hacker manomettano il software di cui gli sviluppatori si fidano, diffondendo ampiamente il codice malevolo.


Progetti o sistemi che hanno scaricato e integrato queste versioni della libreria sono diventati inconsapevolmente vulnerabili all'exploit.



In un comunicato pubblico, Phantom, uno dei portafogli Solana più utilizzati, ha confermato di non aver mai utilizzato le versioni compromesse della libreria, garantendo che i suoi utenti non sono stati colpiti.


Allo stesso modo, Solflare e altri progetti chiave come Drift e Backpack hanno rassicurato le loro comunità che robuste misure di sicurezza hanno impedito qualsiasi compromesso.


Gli sviluppatori che si affidavano a operazioni con chiavi private all'interno delle versioni compromesse sono stati le principali vittime, ma gli utenti finali sono stati in gran parte risparmiati.


Voci prominenti nella comunità di Solana hanno chiarito che l'attacco non ha compromesso la blockchain di Solana stessa.


A seguito della violazione, gli sviluppatori sono stati esortati a aggiornare immediatamente alla versione 1.95.8 della libreria, a controllare i loro progetti per dipendenze dalle versioni compromesse e a ruotare e rigenerare le chiavi private per mitigare ulteriori perdite.


npm ha successivamente rimosso le versioni compromesse e strumenti come Socket sono stati raccomandati agli sviluppatori per rilevare vulnerabilità nei loro repository.


Questa violazione fa parte di una preoccupante tendenza di attacchi alla catena di fornitura, in cui gli hacker prendono di mira strumenti software ampiamente utilizzati per attaccare un gruppo più ampio di persone.


Hakan Unal, Senior Blockchain Scientist presso Cyverse, ha detto a Decrypt che “il recente attacco alla catena di fornitura della libreria Solana evidenzia un problema critico nello sviluppo software moderno: la sicurezza delle dipendenze di terze parti.”


"Queste dipendenze—librerie open-source o componenti integrati in un progetto più grande—sono ampiamente utilizzate per accelerare lo sviluppo,” ha aggiunto Unal. “Tuttavia, se non gestite con attenzione, possono diventare vettori per attori malevoli, e specialmente in cripto, dove il guadagno di capitale è alto, sono necessari standard rigidi.”


Un attacco simile ha recentemente colpito la libreria JavaScript Lottie Player, ampiamente utilizzata per animazioni web. Gli hacker hanno incorporato codice malevolo nel suo pacchetto npm, causando perdite in criptovaluta superiori a $723.000.


In quel caso, gli utenti che visitavano siti web compromessi hanno inconsapevolmente firmato falsi avvisi di connessione del portafoglio controllati dagli attaccanti, concedendo accesso ai loro fondi.


Modificato da Stacy Elliott.