一次重大的供應鏈攻擊影響了 Solana 生態系統,目標是 @solana/web3.js JavaScript 庫,這是開發人員在 Solana 區塊鏈上創建去中心化應用程序 (dApp) 所依賴的關鍵工具。
12 月 2 日,黑客入侵了維護 @solana/web3.js 庫的開發人員的帳戶。Solana 應用程序開發人員每週下載該工具超過 35 萬次。
黑客入侵了 1.95.6 和 1.95.7 版本,嵌入了惡意代碼,竊取了私鑰並盜取了資金。根據 Solscan 的數據,此次入侵導致 16 萬美元資產被盜,包括 SOL 代幣和其他加密資產。
專注於Solana的開發團隊Anza在週二披露了此次泄露事件,稱其發生在npm上該庫的發佈訪問賬戶被攻破時。
攻擊者引入了包含後門的未經授權的更新,該後門將私鑰數據傳輸到硬編碼地址。這些惡意版本在從npm中移除幾小時之前被下載。
此次攻擊影響了在協調世界時12月2日下午3:20至晚上8:25之間更新庫的開發者,特別是那些依賴於私鑰的後端系統或機器人。
利用這一訪問權限,攻擊者上傳了修改後的庫版本(1.95.6和1.95.7),其中包含祕密將私鑰發送到黑客控制地址的代碼。這些密鑰使黑客能夠從使用受影響庫的應用程序中竊取資金。
這種類型的事件被稱爲供應鏈攻擊,黑客篡改開發者依賴的軟件,廣泛傳播惡意代碼。
下載並集成這些庫版本的項目或系統在不知情的情況下變得容易受到攻擊。
在一份公開聲明中,Phantom,最廣泛使用的Solana錢包之一,確認它從未使用過受影響的庫版本,確保其用戶未受到影響。
同樣,Solflare和其他關鍵項目如Drift和Backpack向其社區保證,強有力的安全措施防止了任何妥協。
依賴受影響版本中的私鑰操作的開發者是主要受害者,但最終用戶在很大程度上沒有受到影響。
Solana社區的知名人士澄清,此次攻擊並未破壞Solana區塊鏈本身。
在此次泄露事件後,開發者被敦促立即更新到該庫的1.95.8版本,審覈他們的項目以檢查對受影響版本的依賴,並輪換和重新生成私鑰以減少進一步損失。
npm隨後已移除受影響的版本,並建議開發者使用Socket等工具檢測其代碼庫中的漏洞。
此次泄露事件是供應鏈攻擊令人擔憂趨勢的一部分,黑客針對廣泛使用的軟件工具攻擊更大羣體。
Cyverse的高級區塊鏈科學家Hakan Unal告訴Decrypt,“最近的Solana庫供應鏈攻擊突顯了現代軟件開發中的一個關鍵問題:第三方依賴項的安全性。”
“這些依賴項——集成到更大項目中的開源庫或組件——被廣泛用於加速開發,”Unal補充道。“然而,如果管理不當,它們可能成爲惡意行爲者的載體,尤其在加密領域,資本收益高,需要嚴格的標準。”
最近,一起類似的攻擊影響了Lottie Player JavaScript庫,該庫廣泛用於網頁動畫。黑客在其npm包中嵌入了惡意代碼,導致超過723,000美元的加密損失。
在這種情況下,訪問受影響網站的用戶在不知情的情況下籤署了由攻擊者控制的虛假錢包連接提示,從而授予了他們訪問資金的權限。
由Stacy Elliott編輯。
