12月4日傳出JavaScript軟體開發套件(SDK)Solana遭遇供應鏈攻擊,導致部分版本程式庫被植入後門程式碼,開發人員的加密貨幣錢包私鑰將會遭竊,使得資產被洗劫一空。
這起事故的揭露,最早是由專門研究及開發Solana相關工具的軟體業者Anza揭露,該公司主管Trent.sol最先提出警告,指出1.95.6及1.95.7版的Solana SDK「solana-web3.js(或寫成@solana/web3.js)」被植入竊資軟體,將會導致私鑰流出。若是使用上述版本的SDK,應儘速升級至1.95.8版。此外,他強調1.95.5版不受影響。
後來Anza透露,這起事故發生的原因,是@solana/web3.js其中一個具有軟體發布權限的帳號遭駭,導致攻擊者能在未經授權的情況下發布惡意套件。一旦開發人員安裝這些惡意套件,攻擊者就有可能竊取他們的私鑰,從而榨乾加密貨幣資產。不過,該公司認為,未受到代管的錢包應不受影響。
Anza認為,這起事故發生的原因並非源自Solana本身的通訊協定,而是特定的JavaScript程式庫導致,他們研判只會影響直接處理私鑰的流程,以及其他在世界協調時間(UTC)12月2日下午3月20分至晚間8時25分更動的內容。
他們提及Solana開發團隊已察覺此事,並撤下1.95.6及1.95.7版,Anza除呼籲開發人員升級新版,若是懷疑自己可能受到這起事故影響,應該輪替疑似遭到竄改的授權金鑰因應。
雲端程式監控業者Datadog研究員Christophe Tafani-Dereeper指出,攻擊者在SDK植入名為addToQueue的功能,並利用看似合法的Cloudflare標頭來洩露私鑰。
供應鏈資安業者Socket彙整了整起事故的發生經過,並免費提供他們的工具讓開發人員檢測。
對此,Solana開發團隊也證實確有此事,並在1.95.8版發行公告進行相關說明。
針對這起事故的受害範圍,資安新聞網站Bleeping Computer根據研究人員提供的加密貨幣錢包位址,透過Solana掃描網站Solscan進行調查,估計約有18.4萬美元的加密貨幣遭竊。
熱門新聞
2024-12-10
2024-12-08
2024-12-10
2024-12-10
2024-11-29
2024-12-11
2024-12-10