Значительная атака на цепочку поставок повлияла на экосистему Solana, нацеленную на библиотеку JavaScript @solana/web3.js — важнейший инструмент, который разработчики используют для создания децентрализованных приложений (dApps) на блокчейне Solana.
2 декабря хакеры получили доступ к аккаунту разработчика, поддерживающего библиотеку @solana/web3.js. Это инструмент, который еженедельно загружался разработчиками приложений Solana более 350 000 раз.
Хакеры взломали версии 1.95.6 и 1.95.7, внедрив вредоносный код, который извлекал закрытые ключи и сливал средства. Взлом привел к краже активов на сумму 160 000 долларов, включая токены SOL и другие криптоактивы, согласно данным Solscan.
Команда разработчиков, сосредоточенная на Solana, Anza, раскрыла утечку во вторник, сообщив, что она произошла, когда учетная запись с правами на публикацию для библиотеки на npm была скомпрометирована.
Злоумышленники ввели несанкционированные обновления, содержащие заднюю дверь, которая передавала данные приватного ключа на жестко закодированный адрес. Эти вредоносные версии были скачаны до того, как их удалили из npm через несколько часов.
Атака затронула разработчиков, которые обновили библиотеку между 15:20 UTC и 20:25 UTC 2 декабря, особенно тех, кто использовал серверные системы или ботов, полагающихся на приватные ключи.
Используя этот доступ, злоумышленники загрузили измененные версии библиотеки (1.95.6 и 1.95.7), содержащие код, который тайно отправлял приватные ключи на адрес, контролируемый хакером. Эти ключи позволили хакерам украсть средства из приложений, использующих скомпрометированную библиотеку.
Этот тип инцидента называется атакой на цепочку поставок, когда хакеры вмешиваются в программное обеспечение, от которого зависят разработчики, широко распространяя вредоносный код.
Проекты или системы, которые скачали и интегрировали эти версии библиотеки, без ведома стали уязвимыми для эксплуатации.
В публичном заявлении Phantom, одном из самых широко используемых кошельков Solana, подтвердили, что никогда не использовали скомпрометированные версии библиотеки, гарантируя, что их пользователи не пострадали.
Аналогично, Solflare и другие ключевые проекты, такие как Drift и Backpack, уверили свои сообщества, что надежные меры безопасности предотвратили любые компрометации.
Разработчики, полагающиеся на операции с приватными ключами в затронутых версиях, были основными жертвами, но конечные пользователи в значительной степени остались в безопасности.
Выдающиеся представители сообщества Solana уточнили, что атака не затронула сам блокчейн Solana.
В свете утечки разработчиков призвали немедленно обновиться до версии 1.95.8 библиотеки, проверить свои проекты на наличие зависимостей от скомпрометированных версий и сменить и сгенерировать новые приватные ключи, чтобы смягчить дальнейшие потери.
npm с тех пор удалил затронутые версии, и инструменты, такие как Socket, были рекомендованы разработчикам для обнаружения уязвимостей в их репозиториях.
Эта утечка является частью тревожной тенденции атак на цепочку поставок, когда хакеры нацеливаются на широко используемые программные инструменты, чтобы атаковать более крупную группу людей.
Хакан Унал, старший блокчейн-ученый в Cyverse, сказал Decrypt, что "недавняя атака на цепочку поставок библиотеки Solana подчеркивает критическую проблему в современном программировании: безопасность сторонних зависимостей."
"Эти зависимости — открытые библиотеки или компоненты, интегрированные в более крупный проект — широко используются для ускорения разработки," добавил Унал. "Однако, если ими не управлять осторожно, они могут стать векторами для злоумышленников, и особенно в криптовалюте, где доходность высока, необходимы жесткие стандарты."
Похожие атаки недавно затронули библиотеку JavaScript Lottie Player, широко используемую для веб-анимации. Хакеры внедрили вредоносный код в ее пакет npm, что привело к убыткам в криптовалюте, превышающим 723 000 долларов.
В этом случае пользователи, посещающие скомпрометированные веб-сайты, без ведома подписали фальшивые запросы на подключение кошелька, контролируемые злоумышленниками, что дало доступ к их средствам.
Отредактировано Стейси Эллиотт.
