
بروزرسانی: 30 خرداد 1404
حمله زنجیره تامین کتابخانه سولانا کیف پول های ارزهای دیجیتال را فاش کرد
حمله زنجیره تامین به کتابخانه پرکاربرد @solana/web3.js npm که کلیدهای خصوصی را برای سرقت وجوه هدف قرار می دهد، توسعه دهندگان و کاربران ارزهای دیجیتال را در معرض خطر قرار داده است. نسخه های م،ب 1.95.6 و 1.95.7 به طور خلاصه در 2 دسامبر 2024 مستقر شدند، اما از آن زمان حذف شده اند.
این حمله از نگهبانان کتابخانه، احتمالاً از طریق فیشینگ، سوء استفاده کرده و به مهاجمان اجازه می دهد کدهای م،ب را تزریق کنند. محققان امنیتی فاش ،د که کد کلیدهای خصوصی یک سرور تحت کنترل مهاجم، sol-rpc(.)xyz را که چند روز قبل از هک ضبط شده بود، فاش کرد.
Christophe Tavani-Deriber، محقق امنیت ابری، تابع درپشتی "addToQueue" را شناسایی کرد که عملیات حساس به کلید را در داخل بسته ربوده بود.
این فعالیت م،ب بر پروژه هایی که مستقیماً کلیدهای خصوصی را مدیریت می کنند و وابستگی های آن ها را در طول دوره حمله پنج ساعته به روزرس، می کنند، تأثیر می گذارد. این شامل برنامه های غیرمتمرکز (dApps) یا ربات های خودکار است که برای کار به کلیدهای خصوصی متکی هستند.
کیف پول های غیر حافظی که کلیدهای خصوصی را در طول تراکنش ها آشکار نمی کنند، تحت تأثیر قرار نگرفتند. کل دارایی های سرقت شده، عمدتاً در توکن های SOL، بین 130000 تا 160000 دلار ،ن زده می شود. کیف پول های بزرگی مانند فانتوم و کوین بیس تأیید ،د که تحت تأثیر قرار نگرفته اند زیرا نسخه های هک شده را یکپارچه نکرده اند.
درباره تهدیدهایی که دارایی های رمزنگاری را هدف قرار می دهند بیشتر بخو،د: ایالات متحده خدمات غیرقانونی مخلوط ، ارزهای دیجیتال Samourai Wallet را حذف می کند
اقدامات پیشگیرانه برای توسعه دهندگان
آزمایشگاه سولانا و سایر کارشناسان این اقدامات را برای توسعه دهندگان توصیه می کنند:
وابستگی های حسابرسی برای تعیین اینکه آیا @solana/web3.js نسخه 1.95.6 یا 1.95.7 استفاده می شود یا خیر
بلافاصله به نسخه 1.95.8 به روز رس، کنید
در صورت مشکوک شدن به نقض، کلیدها، از جمله چندین امضا و مقامات برنامه را بچرخ،د
این حادثه آسیب پذیری های مداوم در زنجیره های تامین نرم افزار منبع باز را برجسته می کند. این حمله به دنبال سوء استفاده های دیگر npm مانند crypto-keccak و solana-systemprogram-utils است که به طور مشابه کیف پول های ارزهای دیجیتال را هدف قرار می دهند.
Katie Paxton-Fear، محقق API در Traceable AI می گوید: «ما در سال جاری شاهد حملات مختلف زیادی به ارزهای دیجیتال بوده ایم.
"علاوه بر افزایش حملات زنجیره تامین، شاید تعجب آور نباشد که یک عامل تهدید این دو را با یک حمله زنجیره تامین که کیف پول توسعه دهندگان وب 3.0 را هدف قرار می دهد ،یب کند."
تاثیر گسترده تر
اگرچه کیف پول های اصلی مانند Phantom و Coinbase تحت تأثیر قرار نگرفتند، بسیاری از توسعه دهندگ، که کتابخانه را در برنامه ها و ابزارهای کوچک تر ادغام ،د، در معرض خطر قرار گرفتند. شرکت امنیتی Socket خواستار افزایش هوشیاری هنگام مدیریت وابستگی ها در محیط های پرخطر شده است.
این حمله بر نیاز به امنیت زنجیره تامین قوی، به ویژه با ادامه رشد ا،یستم های ارزهای دیجیتال تاکید می کند.
جو سیلوا، مدیرعامل Spektion هشدار داد: «برای مبارزه با این تهدید رو به رشد، برنامه های امنیتی باید فراتر از مدیریت آسیب پذیری مبتنی بر CVE سنتی تکامل یابند.
یک رویکرد فعال که بر درک خطرات ناشی از اجزای نرم افزار و رفتارها در حین کار تأکید دارد، برای مدیریت مؤثر ریسک های نرم افزاری شخص ثالث و ایمن سازی زنجیره تأمین نرم افزار حیاتی خواهد بود.»
منبع: https://www.infosecurity-magazine.com/news/solana-li،ry-supply-chain-attack/