Как опытный криптоинвестор, умеющий ориентироваться в коварных водах технологии блокчейн, я должен сказать, что недавняя уязвимость, обнаруженная в библиотеке Solana/web3.js, поставила меня в тупик. Тем не менее, отрадно видеть, что Phantom, один из моих любимых поставщиков кошельков, быстро подтверждает свою безопасность в условиях этого кризиса. Их активный подход и прозрачность заслуживают похвалы.
Phantom уверяет пользователей, что на их платформе не обнаружено никакого воздействия недавно обнаруженной уязвимости в библиотеке Solana web3.js.
Уверяя пользователей, Phantom — цифровой кошелек, работающий на блокчейне Solana, — объявил себя безопасным после обнаружения уязвимости в библиотеке Solana/Web3.js. Команда Phantom проверила и подтвердила, что затронутые версии этой библиотеки (1.95.6 и 1.95.7) не будут использоваться в их системной инфраструктуре, что гарантирует пользователям безопасность их платформы.
Пользователи, использующие библиотеку @solana/web3.js версий 1.95.6 и 1.95.7, уязвимы для похитителя секретов, который раскрывает закрытые ключи. Если вы или ваш продукт используете эти версии, настоятельно рекомендуется выполнить обновление до версии 1.95.8 (версия 1.95.5 безопасна).
Для тех, кто управляет службами, способными заносить адреса в черный список, примите соответствующие меры. действие с…
— trent.sol (@trentdotsol), 3 декабря 2024 г.
Сегодня днём разработчик Solana Трент Сол опубликовал предупреждение о компрометации библиотеки. Он объяснил, что использование этих уязвимых версий потенциально может подвергнуть пользователей атакам с целью кражи секретов, которые могут привести к утечке ключей, используемых для доступа и защиты кошельков. Трент рекомендовал обновиться до версии 1.95.8 как для продуктов, так и для разработчиков, использующих уязвимые версии. Однако он добавил, что более ранние версии, такие как 1.95.5, не подвержены этим проблемам.
По данным нашей команды безопасности, Phantom никогда не использовал уязвимые версии @solana/web3.js. Следовательно, эта уязвимость не затрагивает его.
— Phantom (@phantom), 3 декабря 2024 г.
Экосистема Solana устраняет уязвимость Web3.js
В сети Solana были приняты быстрые меры для устранения потенциальной уязвимости. Примечательно, что такие важные проекты, как Drift, Phantom и Solflare, заверили своих пользователей, что они не затронуты, потому что либо они не используют уязвимую версию, либо у них предусмотрены дополнительные меры безопасности. Более того, разработчикам и проектам в рамках экосистемы рекомендуется пересмотреть свои зависимости и обновить свои библиотеки для обеспечения безопасности средств и данных.
Рост уязвимостей
Открытие Трента Сола об уязвимости в его коде указывает на общую проблему безопасности в сетях блокчейна. Расследование показывает, что некоторые ошибочные версии библиотеки содержали скрытые инструкции, предназначенные для захвата и передачи закрытых ключей в кошелек, идентифицированный как FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx. Эксперт по облачной безопасности Datadog Кристоф Тафани-Дерепер подчеркнул сложность скрытого бэкдора, обнаруженного в Bluesky.
Эксклюзивные результаты: в версии 1.95.7 была скрыто интегрирована секретная функция «addToQueue», которая незаметно передает закрытый ключ, используя явно аутентичные спецификации заголовка CloudFlare. Эта функция стратегически размещена в различных местах, где она обычно взаимодействует с закрытым ключом в законных целях.
— Кристоф Тафани-Дерепер (@christophetd.fr) 2024-12-03T23:47:18.004Z
Возникновение таких рисков участилось, о чем свидетельствует инцидент с вредоносным пакетом в этом году, подробно описанный The Hacker News, нацеленный на индекс пакетов Python (PyPl). Этот мошеннический пакет под названием «solana-py» выдавал себя за подлинный API Solana Python для кражи ключей кошелька Solana и передачи их на сервер злоумышленника. Кроме того, он использовал похожие имена, чтобы обмануть разработчиков, в результате чего до его удаления было скачано 1122 раза.
Смотрите также
- Биткоин-ставка Джима Крамера: лучшая финансовая комедия 🎭
- Крах MIT в Gemini: студентам Гэри Генслера не будет работы!
- Вы не поверите, что случилось с кошельками Росса Ульбрихта! 🤯
- Токен XCN набирает обороты: вы не поверите цифрам!
- Будущее Alchemist AI: прогнозы цены на криптовалюту ALCH
- Криптовалютная афера Криса Ларсена: 112,5 млн долларов ушли в цифровой бум! 💸👀
- Будущее Major Frog: прогнозы цены на криптовалюту MAJOR
- Будущее Onyxcoin: прогнозы цены на криптовалюту XCN
- HashKey запускает в Telegram бота для заработка, чтобы привлечь ритейлеров своим токеном HSK
- Будущее Official Trump: прогнозы цены на криптовалюту TRUMP
2024-12-04 09:08