Solana 生态开发团队 Anza 的核心开发者 trent.sol 于今晨在 X 上发文披露,Solana 开发者生态系统中常用的 JavaScript(JS)库「solana/web3.js」 版本1.95.6 和 1.95.7 遭到恶意修改。据悉,攻击者利用漏洞发布了未经授权且带有恶意代码的版本,该代码被修改以窃取私钥信息,并从直接处理私钥的应用(如自动交易机器人、钱包运营商等)中盗取资金。
trent.sol 呼吁:
「如果您或您的产品正在使用这两个版本,请立即升级到 1.95.8 版本(1.95.5 版本不受影响)。此外,如果您运行的服务可以封锁地址,请将 FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx 列入黑名单并采取必要行动。」
该消息发布后,包含 Phantom、Solfare、Backpack 和 Glow Wallet 等主流都出面表示未受影响。
Phantom is not impacted by this vulnerability.Our Security Team confirms that we have never used the exploited versions of @solana/web3.js https://t.co/9wHZ4cnwa1
— Phantom (@phantom) December 3, 2024
但有在使用自动交易机器人服务或其他钱包的用户务必向运营商确认潜在风险或立即转移资金。
Source
