PANews, 4 декабря, сообщают, что основатель Slow Mist Юйсин выпустил предупреждение, что в версиях 1.95.6 и 1.95.7 библиотеки @solana/web3.js произошел инцидент с отравлением цепочки поставок, в этих версиях содержится код, который может украсть личные ключи пользователей. В настоящее время новая версия исправила эту уязвимость, известные кошельки пока не обнаружили проблем.
По сообщениям, уже произошли реальные случаи атак, так как вредоносные версии продержались всего несколько часов, прежде чем были обнаружены и удалены, жертвами могли стать сторонние инструменты или роботы, которые вовремя обновили зависимости. Юйсин напоминает разработчикам о необходимости своевременно проверять версии используемых зависимостей в проекте.
