حمله زنجیره تامین سولانا مهار شد، اما کاربران با ضرر شش رقمی روبرو هستند

امروز به Web3 Evolution ژاپن بپیوندید
امروز به Web3 Evolution ژاپن بپیوندیدامروز به Web3 Evolution ژاپن بپیوندید

حمله زنجیره تامین به اکوسیستم شبکه سولانا در روز گذشته به سرعت مهار شد.

در 3 دسامبر، Anza، یک تیم توسعه متمرکز بر Solana، فاش کرد که یک حساب با دسترسی انتشار به کتابخانه جاوا اسکریپت solana/web3.js به خطر افتاده است.

این به مهاجم اجازه می‌دهد تا بسته‌های غیرمجاز حاوی کد مخربی را تزریق کند که اطلاعات کلید خصوصی را سرقت کرده و وجوه را از برنامه‌های غیرمتمرکز (dApps) که با کلیدهای خصوصی تعامل دارند تخلیه می‌کند.

ایمن بلاک چین سولانا

این حمله بر کیف پول‌های غیرقانونی تأثیری نداشت، زیرا این کیف پول‌ها کلیدهای خصوصی را در طول تراکنش‌ها در معرض دید قرار نمی‌دهند. توسعه دهندگان تصریح کردند که این مشکل مختص کتابخانه سرویس گیرنده جاوا اسکریپت است و شامل پروتکل Solana نمی شود.

یکی از مدافعان سرسخت سولانا، مرت ممتاز، به جامعه اطمینان داد که این حمله مهار شده است، در حالی که اشاره کرد که این حادثه “ربطی به امنیت منطقه ندارد. [Solana] خود بلاک چین.»

او همچنین توضیح داد که این مشکل عمدتاً بر توسعه‌دهندگانی تأثیر می‌گذارد که سیستم‌های خود را در مدت زمان کوتاهی به‌روزرسانی کرده‌اند، به‌ویژه آن‌هایی که ربات‌های جاوا اسکریپت یا سیستم‌های پشتیبان مشابه را با استفاده از کلیدهای خصوصی اجرا می‌کنند. کاربران نهایی و کیف پول‌ها تا حد زیادی تحت تأثیر قرار نگرفتند، زیرا کلیدهای خصوصی را در معرض دید قرار نمی‌دهند.

در همین حال، چندین پروژه مبتنی بر Solana، از جمله Phantom و Exchange Backpack، تأیید کردند که این اکسپلویت بر آنها تأثیری نداشته است.

فانتوم، محبوب‌ترین کیف پول سولانا، تاکید کرد که هرگز از نسخه‌های در معرض خطر @solana/web3.js استفاده نکرده‌اند و اطمینان می‌دهند که امنیت کاربرانشان دست نخورده باقی می‌ماند.

باخت شش رقمی

در حالی که حمله به سرعت مهار شد، توسعه دهنده مستعار DeFiLlama 0xngmi گزارش داد که برخی از سرمایه گذاران شش رقمی را به دلیل این حادثه از دست داده اند.

داده‌های زنجیره‌ای نشان می‌دهد که این حمله مخرب به دارایی‌های دزدیده شده حدود 160000 دلار، عمدتاً در SOL، منجر شده است. آدرس مهاجم حاوی بیش از 161000 دلار SOL و توکن های اضافی به ارزش بیش از 31000 دلار بود.

در حالی که ضرر قابل توجه است، 0xngmi معتقد است که آسیب می توانست به مراتب بدتر باشد. او توضیح داد که هدف قرار دادن مستقیم کلیدهای خصوصی توسط هکرها ممکن است پتانسیل حمله را محدود کرده باشد به عنوان یک سوء استفاده پیچیده تر، مانند آنچه که در سال گذشته در کیف پول سخت افزاری لجر مشاهده شد، می توانست بسیار مخرب تر باشد.

در آن حادثه، مهاجمان یک کتابخانه قانونی را با یک کتابخانه مخرب جایگزین کردند که منجر به خسارت بیش از 610000 دلار شد.