根据Odaily的报道,关于Solana/web3.js库提出了安全隐患。SlowMist的Cosine在X上的一篇帖子强调了影响库版本1.95.6和1.95.7的供应链攻击,这些版本包含能够窃取用户私钥的后门代码。幸运的是,库的最新版本已解决此漏洞,消除了相关风险。
虽然没有主要钱包报告受到此问题的影响,但实际攻击确实发生过。有人猜测,与私钥相关的第三方工具,包括机器人,可能由于及时更新依赖包而受到影响。恶意版本的库仅在被检测到并删除之前可用几个小时。使用此软件包的用户被建议进行彻底检查,以确保他们的系统安全。
