Um ataque à cadeia de abastecimento no Solana ecossistema de rede foi rapidamente contido durante o dia anterior.
Em 3 de dezembro, Anza, uma equipe de desenvolvimento focada em Solana, revelado que uma conta com acesso de publicação à biblioteca JavaScript solana/web3.js foi comprometida.
Isso permitiu que o invasor injetasse pacotes não autorizados contendo código malicioso que roubava informações de chaves privadas e drenava fundos de aplicativos descentralizados (dApps) que interagem com chaves privadas.
Solana blockchain seguro
O ataque não afetou carteiras sem custódia, pois essas carteiras não expõem chaves privadas durante as transações. Os desenvolvedores esclareceram que o problema é específico da biblioteca cliente JavaScript e não envolve o protocolo Solana.
Um firme defensor de Solana, Mert Mumtaz, tranquilizado à comunidade que o ataque foi contido, salientando ao mesmo tempo que o incidente “não teve nada a ver com a segurança do [Solana] blockchain em si.”
Ele também explicou que o problema afetou principalmente os desenvolvedores que atualizaram seus sistemas em um curto espaço de tempo, especificamente aqueles que executam bots JavaScript ou sistemas de back-end semelhantes usando chaves privadas. Os usuários finais e as carteiras não foram afetados, pois não expõem chaves privadas.
Enquanto isso, vários projetos baseados em Solana, incluindo Fantasma e a troca de mochilas, confirmado que a exploração não os impactou.
Phantom, a carteira Solana mais popular, enfatizou que eles nunca usaram as versões comprometidas do @solana/web3.js, garantindo que a segurança de seus usuários permanecesse intacta.
Perda de seis dígitos
Embora o ataque tenha sido prontamente contido, o pseudônimo desenvolvedor do DeFiLlama 0xngmi relatado que alguns investidores perderam seis dígitos devido ao incidente.
Na rede dados sugerem que o ataque malicioso resultou em cerca de US$ 160.000 em ativos roubados, principalmente no SOL. O endereço do invasor continha mais de US$ 161.000 em SOL e tokens adicionais avaliados em mais de US$ 31.000.
Embora a perda seja significativa, 0xngmi acredita que os danos poderiam ter sido muito piores. Ele explicado que o direcionamento direto do hacker às chaves privadas pode ter limitado o potencial do ataque como uma exploração mais sofisticada, como a vista no ano passado Comprometimento da carteira de hardware Ledgerpoderia ter sido muito mais destrutivo.
Nesse incidente, os invasores substituíram uma biblioteca legítima por uma maliciosa, resultando em perdas superiores a US$ 610.000.
