Fundador da Slow Fog: versões anteriores da biblioteca Solana/Web3.js sofreram um ataque de envenenamento da cadeia de suprimentos, que já foi corrigido.

PANews, 4 de dezembro - Yuxian, fundador da Slow Fog, emitiu um alerta afirmando que as versões 1.95.6 e 1.95.7 da biblioteca @solana/web3.js sofreram um ataque de envenenamento da cadeia de suprimentos, contendo código backdoor que pode roubar as chaves privadas dos usuários. Uma nova versão já foi lançada para corrigir essa vulnerabilidade de segurança, e até o momento, as principais carteiras conhecidas não apresentaram impactos.

De acordo com informações, já ocorreram casos reais de ataque. Como as versões maliciosas foram descobertas e removidas após poucas horas de vida, as vítimas podem ser ferramentas ou bots relacionados a chaves privadas de terceiros que atualizaram suas dependências a tempo. Yuxian alerta os desenvolvedores para verificarem as versões das dependências utilizadas em seus projetos.