Phantomは、Solanaライブラリ、すなわちSolana/web3.jsで発見された脆弱性の影響を受けていないことを確認しました。

Solana(SOL)ブロックチェーン上で運営されるウォレットプロバイダーのPhantomは、Solana/Web3.jsライブラリで最近発見された脆弱性の後、安全であることを確認しました。Xに投稿された声明によると、Phantomのセキュリティチームは、妥協されたライブラリのバージョンである1.95.6および1.95.7は、彼らのインフラストラクチャでは決して使用されないことを確認し、ユーザーに対してプラットフォームが安全であることを保証しました。

@solana/web3.jsのバージョン1.95.6および1.95.7を使用している全ての人は、プライベートキーを漏洩させる秘密の盗み見に侵害されています。これらのバージョンを使用している場合、1.95.8にアップグレードしてください(1.95.5は影響を受けません)。アドレスをブラックリストに登録できるサービスを運営している場合は、行動を起こしてください。

— trent.sol (@trentdotsol) 2024年12月3日

Trent.solはXプロフィールで、@solana/web3.jsのバージョン1.95.6および1.95.7を使用しないようにと書いています。

あなたにおすすめ: Celciusの創設者が詐欺の罪を認める

今日の早い段階で、Solanaの開発者Trent Solは、妥協されたライブラリについてユーザーに警告しました。彼は、これらのバージョンが秘密の盗み見攻撃のリスクをユーザーに与える可能性があることを知らせ、これらの攻撃はウォレットにアクセスし、セキュリティを確保するために使用されるプライベートキーを漏洩させることができます。妥協されたバージョンを使用している製品や開発者は、バージョン1.95.8にアップグレードするように促しました。ただし、1.95.5などの以前のバージョンには問題がありません。

Phantomはこの脆弱性の影響を受けていません。私たちのセキュリティチームは、@solana/web3.jsの悪用されたバージョンを使用したことがないと確認しています https://t.co/9wHZ4cnwa1

— Phantom (@phantom) 2024年12月3日

Phantomは、solana/web3.jsの脆弱性から安全であることを認めています。SolanaエコシステムはWeb3.jsの脆弱性に対処しています。

Solanaエコシステムは、脆弱性への対応が迅速でした。Drift、Phantom、Solflareなどの重要なプロジェクトは、影響を受けていないことをコミュニティに通知しました。なぜなら、妥協されたバージョンを使用していないか、他のセキュリティ対策があるからです。エコシステムの開発者やプロジェクトは、依存関係をチェックし、資金とデータを安全に保つためにライブラリを更新するよう促されています。

脆弱性の増加

Trent Solの脆弱性の開示は、ブロックチェーンエコシステムがしばしば直面するセキュリティの大きな課題を反映しています。法医学的分析によると、ライブラリの破損したバージョンには、FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfxというウォレットにプライベートキーをキャプチャして送信するための隠れたコマンドが含まれていました。Datadogのクラウドセキュリティ研究者Christophe Tafani-Dereeperは、Blueskyでのバックドアの洗練さを強調しました。

独占: v1.95.7に挿入されたバックドアは、「addToQueue」関数を追加し、プライベートキーを一見正当なCloudFlareヘッダーを通じて流出させます。この関数への呼び出しは、プライベートキーに(正当な形で)アクセスするさまざまな場所に挿入されます。

— Christophe Tafani-Dereeper (@christophetd.fr) 2024-12-03T23:47:18.004Z

開発者Tafani-Dereeperがsolana/web3.jsの脆弱性の法医学的分析を行います。

あなたにおすすめ: ‘Bitcoin Jesus’ロジャー・ヴェルが起訴に対抗し、米政府の過剰な行動を非難

このようなリスクはますます一般的になっており、The Hacker Newsが報じた今年の初めの悪意のあるパッケージ事件がその証拠です。Python Package Index、一般にPyPlとして知られているものに関与し、「solana-py」というパッケージは、正当なSolana Python APIを装ってSolanaウォレットキーを盗み、攻撃者が制御するサーバーに流出させました。また、名前の類似性を利用して開発者を騙し、削除前に1,122回のダウンロードを記録しました。

詳細を読む: DePINが間違えた点とその修正方法 | 意見