餘弦：@solana/web3.js的先前版本存在安全漏洞，用戶私鑰有泄露風險

深潮 TechFlow 消息，12 月 4 日，慢霧餘弦在X上發文表示：“注意@solana/web3.js 供應鏈投毒，已知的 1.95.6 及 1.95.7 版本存在後門代碼，會偷用戶私鑰。新版本已經沒這個風險。已知知名錢包未發現這個風險，但真實攻擊是發生的。“

餘弦猜測也許是更新依賴包比較及時的第三方私鑰有關工具（包括 bot）中招了，因爲投毒的版本存活僅就幾小時，很快就被發現並下架了。如果用戶有用到這個包，需注意排查。

此前社區用戶反饋，@solana/web3.js 的 1.95.6 和 1.95.7 版本已被確認存在安全漏洞，如果用戶運營的服務具有地址黑名單功能，需將以下地址加入黑名單： FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx。