Znaczący atak na łańcuch dostaw wpłynął na ekosystem Solana, celując w bibliotekę JavaScript @solana/web3.js, krytyczne narzędzie, na którym deweloperzy polegają, aby tworzyć zdecentralizowane aplikacje (dApps) na blockchainie Solana.
2 grudnia hakerzy uzyskali dostęp do konta dewelopera utrzymującego bibliotekę @solana/web3.js. Jest to narzędzie, które zostało pobrane ponad 350 000 razy tygodniowo przez deweloperów aplikacji Solana.
Hakerzy skompromitowali wersje 1.95.6 i 1.95.7, wprowadzając złośliwy kod, który eksfiltrował klucze prywatne i opróżniał fundusze. Naruszenie doprowadziło do kradzieży aktywów w wysokości 160 000 USD, w tym tokenów SOL i innych aktywów kryptograficznych, według danych Solscan.
Zespół deweloperski skupiony na Solanie, Anza, ujawnił naruszenie we wtorek, mówiąc, że miało ono miejsce, gdy konto z dostępem publikacyjnym do biblioteki na npm zostało skompromitowane.
Atakujący wprowadzili nieautoryzowane aktualizacje zawierające tylne drzwi, które przesyłały dane kluczy prywatnych do zakodowanego adresu. Te złośliwe wersje zostały pobrane, zanim zostały usunięte z npm kilka godzin później.
Atak dotknął deweloperów, którzy zaktualizowali bibliotekę między 15:20 UTC a 20:25 UTC 2 grudnia, szczególnie tych korzystających z systemów backendowych lub botów polegających na kluczach prywatnych.
Wykorzystując ten dostęp, atakujący przesłali zmienione wersje biblioteki (1.95.6 i 1.95.7) zawierające kod, który potajemnie wysyłał klucze prywatne na adres kontrolowany przez hakerów. Te klucze umożliwiły hakerom kradzież funduszy z aplikacji korzystających z skompromitowanej biblioteki.
Tego typu incydent nazywany jest atakiem na łańcuch dostaw, w którym hakerzy manipulują oprogramowaniem, na którym polegają deweloperzy, szerząc złośliwy kod szeroko.
Projekty lub systemy, które pobrały i zintegrowały te wersje biblioteki, nieświadomie stały się podatne na exploit.
W publicznym oświadczeniu Phantom, jednym z najczęściej używanych portfeli Solana, potwierdził, że nigdy nie korzystał z skompromitowanych wersji biblioteki, zapewniając, że jego użytkownicy nie zostali dotknięci.
Podobnie, Solflare i inne kluczowe projekty, takie jak Drift i Backpack, zapewniły swoje społeczności, że solidne środki bezpieczeństwa zapobiegły jakimkolwiek kompromisom.
Deweloperzy polegający na operacjach z kluczami prywatnymi w dotkniętych wersjach byli głównymi ofiarami, ale użytkownicy końcowi w dużej mierze zostali ocaleni.
Wybitne głosy w społeczności Solana wyjaśniły, że atak nie skompromitował samego blockchaina Solana.
W obliczu naruszenia, deweloperzy zostali wezwani do natychmiastowego zaktualizowania do wersji 1.95.8 biblioteki, audytowania swoich projektów pod kątem zależności od skompromitowanych wersji oraz rotacji i regeneracji kluczy prywatnych w celu złagodzenia dalszych strat.
npm usunął od tego czasu dotknięte wersje, a narzędzia takie jak Socket zostały zalecane dla deweloperów w celu wykrywania luk w ich repozytoriach.
To naruszenie jest częścią niepokojącego trendu ataków na łańcuch dostaw, w których hakerzy celują w powszechnie używane narzędzia oprogramowania, aby zaatakować większą grupę ludzi.
Hakan Unal, starszy naukowiec blockchain w Cyverse, powiedział Decrypt, że „niedawny atak na łańcuch dostaw biblioteki Solana podkreśla krytyczny problem w nowoczesnym rozwoju oprogramowania: bezpieczeństwo zależności osób trzecich.”
"Te zależności – biblioteki open-source lub komponenty zintegrowane w większym projekcie – są powszechnie używane do przyspieszania rozwoju,” dodał Unal. „Jednak jeśli nie są zarządzane ostrożnie, mogą stać się wektorami dla złośliwych aktorów, a szczególnie w kryptowalutach, gdzie zyski kapitałowe są wysokie, potrzebne są sztywne standardy.”
Podobny atak niedawno wpłynął na bibliotekę JavaScript Lottie Player, szeroko stosowaną do animacji w sieci. Hakerzy wprowadzili złośliwy kod do jej pakietu npm, powodując straty kryptograficzne przekraczające 723 000 USD.
W takim przypadku użytkownicy odwiedzający skompromitowane strony internetowe nieświadomie podpisali fałszywe prośby o połączenie portfela kontrolowane przez atakujących, co umożliwiło dostęp do ich funduszy.
Redagowane przez Stacy Elliott.
