12月4日传出JavaScript软件开发组件(SDK)Solana遭遇供应链攻击,导致部分版本程序库被植入后门程序代码,开发人员的加密货币钱包私钥将会遭窃,使得资产被洗劫一空。
这起事故的披露,最早是由专门研究及开发Solana相关工具的软件企业Anza披露,该公司主管Trent.sol最先提出警告,指出1.95.6及1.95.7版的Solana SDK“solana-web3.js(或写成@solana/web3.js)”被植入盗取信息软件,将会导致私钥流出。若是使用上述版本的SDK,应尽快升级至1.95.8版。此外,他强调1.95.5版不受影响。
后来Anza透露,这起事故发生的原因,是@solana/web3.js其中一个具有软件发布权限的账号遭黑,导致攻击者能在未经授权的情况下发布恶意组件。一旦开发人员安装这些恶意组件,攻击者就有可能窃取他们的私钥,从而榨干加密货币资产。不过,该公司认为,未受到托管的钱包应不受影响。
Anza认为,这起事故发生的原因并非源自Solana本身的通信协议,而是特定的JavaScript程序库导致,他们研判只会影响直接处理私钥的流程,以及其他在世界协调时间(UTC)12月2日下午3月20分至晚间8时25分变动的内容。
他们提及Solana开发团队已发现此事,并撤下1.95.6及1.95.7版,Anza除呼吁开发人员升级新版,若是怀疑自己可能受到这起事故影响,应该轮替疑似遭到篡改的授权密钥应对。
云计算程序监控企业Datadog研究员Christophe Tafani-Dereeper指出,攻击者在SDK植入名为addToQueue的功能,并利用看似合法的Cloudflare标头来泄露私钥。
供应链安全企业Socket汇集整理了整起事故的发生经过,并免费提供他们的工具让开发人员检测。
对此,Solana开发团队也证实确有此事,并在1.95.8版发行公告进行相游说明。
针对这起事故的受害范围,安全新闻网站Bleeping Computer根据研究人员提供的加密货币钱包地址,通过Solana扫描网站Solscan进行调查,估计约有18.4万美元的加密货币遭窃。
