Ekosystem Solana pod ostrzałem: Atak na bibliotekę Web3.js

2 grudnia doszło do ataku na łańcuch dostaw, który dotknął bibliotekę JavaScript @solana/web3.js – kluczowe narzędzie dla programistów aplikacji zdecentralizowanych (dApps) w ekosystemie Solana.

W wyniku tego incydentu skradziono aktywa kryptograficzne o łącznej wartości około 160 000 USD, w tym tokeny SOL i inne cyfrowe aktywa, co potwierdzają dane Solscan.

Przebieg ataku

Hakerzy uzyskali dostęp do konta programisty utrzymującego bibliotekę na platformie npm i wprowadzili złośliwy kod w dwóch wersjach: 1.95.6 oraz 1.95.7. Kod ten wykradał klucze prywatne użytkowników, a następnie przesyłał je na adres kontrolowany przez atakujących.

Atak był ukierunkowany na programistów, którzy zaktualizowali swoje projekty w przedziale czasowym między 15:20 a 20:25 UTC 2 grudnia. Szczególnie narażone były systemy korzystające z kluczy prywatnych w operacjach backendowych lub botach. Zainfekowane wersje biblioteki zostały pobrane, zanim usunięto je z platformy npm kilka godzin później.

Reakcje i skala problemu

Incydent, jak podkreślają eksperci, nie dotknął samego blockchaina Solana, a jedynie aplikacje korzystające z zainfekowanej biblioteki. Ważne projekty, takie jak portfele Phantom i Solflare, a także platformy Drift i Backpack, potwierdziły, że ich użytkownicy nie zostali poszkodowani, dzięki stosowanym środkom bezpieczeństwa.

„To pokazuje kluczowe wyzwanie w nowoczesnym rozwoju oprogramowania: bezpieczeństwo zależności stron trzecich” – stwierdził Hakan Unal, starszy naukowiec ds. blockchain w Cyverse. Dodał również, że takie incydenty przypominają, jak łatwo złośliwi aktorzy mogą wykorzystać popularne narzędzia do masowego ataku.

Środki zaradcze

Zespół Solany wezwał wszystkich deweloperów do natychmiastowej aktualizacji biblioteki do wersji 1.95.8, sprawdzenia zależności swoich projektów oraz rotacji i ponownego wygenerowania kluczy prywatnych w celu minimalizacji strat. Narzędzia, takie jak Socket, zostały również zarekomendowane w celu monitorowania potencjalnych luk w zabezpieczeniach.

Ataki na łańcuch dostaw – rosnące zagrożenie

Atak na @solana/web3.js wpisuje się w coraz częstszy trend ataków na łańcuchy dostaw. W podobnym incydencie, złośliwy kod wprowadzony do biblioteki JavaScript Lottie Player doprowadził niedawno do strat kryptograficznych przekraczających 723 000 USD. W tym przypadku użytkownicy, odwiedzając zainfekowane witryny, nieświadomie udostępniali swoje portfele hakerom, którzy uzyskiwali pełen dostęp do ich środków.

Konsekwencje i przyszłość

Eksperci podkreślają, że takie incydenty pokazują konieczność wprowadzenia surowszych standardów bezpieczeństwa w sektorze blockchain.

„W kryptowalutach, gdzie potencjalny zysk jest wysoki, rygorystyczne środki bezpieczeństwa są absolutnie niezbędne” – zauważył Unal.

Deweloperzy i użytkownicy powinni zachować szczególną ostrożność, szczególnie w kontekście aktualizacji oprogramowania zależnego od bibliotek open source, aby zapobiegać dalszym incydentom tego rodzaju.

Subscribe
Powiadom o
0 komentarzy
najnowszy
najstarszy oceniany
Inline Feedbacks
View all comments