据Odaily星球日报报道,慢雾余弦在X平台发文警告solana/web3.js供应链投毒风险。已知1.95.6及1.95.7版本含后门代码,会窃取用户私钥。
新版本已无此风险,知名钱包未发现风险,但真实攻击已发生。可能是更新依赖包及时的第三方私钥工具中招。投毒版本存活仅数小时即被发现并下架。使用该包的用户需注意排查。
