重要なサプライチェーン攻撃がSolanaエコシステムに影響を与え、開発者がSolanaブロックチェーン上で分散型アプリケーション(dApps)を作成するために依存している重要なツールである@solana/web3.js JavaScriptライブラリを標的としました。
12月2日、ハッカーは@solana/web3.jsライブラリを維持している開発者のアカウントにアクセスしました。このツールは、Solanaアプリの開発者によって毎週35万回以上ダウンロードされています。
ハッカーはバージョン1.95.6および1.95.7を侵害し、プライベートキーを流出させて資金を drainedする悪意のあるコードを埋め込みました。侵害によって、SOLトークンやその他の暗号資産を含む16万ドルの資産が盗まれました。
Solanaに特化した開発チームAnzaは、ライブラリのnpm上の公開アクセスアカウントが侵害された際に発生したと火曜日に発表しました。
攻撃者はプライベートキーのデータをハードコーディングされたアドレスに送信するバックドアを含む不正な更新を導入しました。これらの悪意のあるバージョンは、数時間後にnpmから削除される前にダウンロードされました。
この攻撃は、12月2日のUTC午後3時20分から午後8時25分の間にライブラリを更新した開発者に影響を及ぼし、特にプライベートキーに依存するバックエンドシステムやボットを使用している人々に影響を与えました。
このアクセスを利用して、攻撃者はプライベートキーをハッカーが制御するアドレスに秘密裏に送信するコードが含まれたライブラリの変更されたバージョン(1.95.6および1.95.7)をアップロードしました。これらのキーにより、ハッカーは侵害されたライブラリを使用しているアプリケーションから資金を盗むことができました。
この種の事件はサプライチェーン攻撃と呼ばれ、ハッカーが開発者が依存するソフトウェアに手を加え、悪意のあるコードを広めるものです。
これらのライブラリのバージョンをダウンロードして統合したプロジェクトやシステムは、知らず知らずのうちに脆弱になってしまいました。
公の声明の中で、最も広く使用されているSolanaウォレットの一つであるPhantomは、ライブラリの侵害されたバージョンを使用したことはないと確認し、ユーザーが影響を受けていないことを保証しました。
同様に、SolflareやDrift、Backpackなどの他の主要プロジェクトは、強固なセキュリティ対策により侵害を防いだことをコミュニティに保証しました。
影響を受けたバージョン内でプライベートキー操作に依存していた開発者が主な被害者でしたが、エンドユーザーは大きな影響を受けることはありませんでした。
Solanaコミュニティの著名な声は、攻撃がSolanaブロックチェーン自体を侵害しなかったことを明確にしました。
侵害の後、開発者たちはライブラリのバージョン1.95.8に直ちに更新し、侵害されたバージョンに依存しているプロジェクトを監査し、さらなる損失を軽減するためにプライベートキーをローテーションおよび再生成するよう促されています。
npmはその後、影響を受けたバージョンを削除し、Socketのようなツールが開発者に対してリポジトリ内の脆弱性を検出するために推奨されました。
この侵害は、ハッカーが広く使用されているソフトウェアツールを標的にして、より大きな人々のグループを攻撃するという懸念すべきサプライチェーン攻撃の一部です。
Cyverseのシニアブロックチェーンサイエンティストであるハカン・ウナルは、Decryptに対し、「最近のSolanaライブラリのサプライチェーン攻撃は、現代のソフトウェア開発における重要な問題を浮き彫りにしています:サードパーティの依存関係のセキュリティです。」と述べました。
"これらの依存関係—オープンソースのライブラリやより大きなプロジェクトに統合されたコンポーネント—は、開発を加速するために広く使用されています"とウナルは付け加えました。「しかし、注意深く管理されなければ、悪意のある行為者のベクターとなる可能性があります。そして、特に暗号では、資本利益が高いため、厳格な基準が必要です。」
最近、Lottie Player JavaScriptライブラリにも同様の攻撃があり、これはウェブアニメーションに広く使用されています。ハッカーはそのnpmパッケージに悪意のあるコードを埋め込み、723,000ドルを超える暗号資産の損失を引き起こしました。
その場合、侵害されたウェブサイトを訪れたユーザーは知らず知らずのうちに攻撃者が制御する偽のウォレット接続プロンプトにサインしてしまい、資金へのアクセスを許可してしまいました。
編集者:ステイシー・エリオット。
