حمله زنجیره تامین سولانا مهار شد، اما کاربران با ضرر شش رقمی روبرو هستند



حمله زنجیره تامین به اکوسیستم شبکه سولانا در روز گذشته به سرعت مهار شد.
در 3 دسامبر، Anza، یک تیم توسعه متمرکز بر Solana، فاش کرد که یک حساب با دسترسی انتشار به کتابخانه جاوا اسکریپت solana/web3.js به خطر افتاده است.
این به مهاجم اجازه میدهد تا بستههای غیرمجاز حاوی کد مخربی را تزریق کند که اطلاعات کلید خصوصی را سرقت کرده و وجوه را از برنامههای غیرمتمرکز (dApps) که با کلیدهای خصوصی تعامل دارند تخلیه میکند.
ایمن بلاک چین سولانا
این حمله بر کیف پولهای غیرقانونی تأثیری نداشت، زیرا این کیف پولها کلیدهای خصوصی را در طول تراکنشها در معرض دید قرار نمیدهند. توسعه دهندگان تصریح کردند که این مشکل مختص کتابخانه سرویس گیرنده جاوا اسکریپت است و شامل پروتکل Solana نمی شود.
یکی از مدافعان سرسخت سولانا، مرت ممتاز، به جامعه اطمینان داد که این حمله مهار شده است، در حالی که اشاره کرد که این حادثه “ربطی به امنیت منطقه ندارد. [Solana] خود بلاک چین.»
او همچنین توضیح داد که این مشکل عمدتاً بر توسعهدهندگانی تأثیر میگذارد که سیستمهای خود را در مدت زمان کوتاهی بهروزرسانی کردهاند، بهویژه آنهایی که رباتهای جاوا اسکریپت یا سیستمهای پشتیبان مشابه را با استفاده از کلیدهای خصوصی اجرا میکنند. کاربران نهایی و کیف پولها تا حد زیادی تحت تأثیر قرار نگرفتند، زیرا کلیدهای خصوصی را در معرض دید قرار نمیدهند.
در همین حال، چندین پروژه مبتنی بر Solana، از جمله Phantom و Exchange Backpack، تأیید کردند که این اکسپلویت بر آنها تأثیری نداشته است.
فانتوم، محبوبترین کیف پول سولانا، تاکید کرد که هرگز از نسخههای در معرض خطر @solana/web3.js استفاده نکردهاند و اطمینان میدهند که امنیت کاربرانشان دست نخورده باقی میماند.
باخت شش رقمی
در حالی که حمله به سرعت مهار شد، توسعه دهنده مستعار DeFiLlama 0xngmi گزارش داد که برخی از سرمایه گذاران شش رقمی را به دلیل این حادثه از دست داده اند.
دادههای زنجیرهای نشان میدهد که این حمله مخرب به داراییهای دزدیده شده حدود 160000 دلار، عمدتاً در SOL، منجر شده است. آدرس مهاجم حاوی بیش از 161000 دلار SOL و توکن های اضافی به ارزش بیش از 31000 دلار بود.
در حالی که ضرر قابل توجه است، 0xngmi معتقد است که آسیب می توانست به مراتب بدتر باشد. او توضیح داد که هدف قرار دادن مستقیم کلیدهای خصوصی توسط هکرها ممکن است پتانسیل حمله را محدود کرده باشد به عنوان یک سوء استفاده پیچیده تر، مانند آنچه که در سال گذشته در کیف پول سخت افزاری لجر مشاهده شد، می توانست بسیار مخرب تر باشد.
در آن حادثه، مهاجمان یک کتابخانه قانونی را با یک کتابخانه مخرب جایگزین کردند که منجر به خسارت بیش از 610000 دلار شد.