سولانا مورد حمله قرار گرفت؛ اطلاعیه فوری تیم توسعه‌دهنده را بخوانید!

یک حمله زنجیره تأمین گسترده، کتابخانه JavaScript معروف Solana Web3.js را هدف قرار داده و باعث سرقت ۱۶۰,۰۰۰ دلار دارایی رمزارزی شده است. این کتابخانه، ابزاری کلیدی برای توسعه‌دهندگان dApp روی بلاکچین سولانا محسوب می‌شود و به‌طور میانگین هفته‌ای ۳۵۰,۰۰۰ بار دانلود می‌شود. اطلاعات منتشر شده توسط Solscan نشان می‌دهد که این حمله شامل سرقت توکن‌های SOL و دیگر دارایی‌های دیجیتال بوده است.

بر اساس اعلام تیم توسعه Anza، این حمله در تاریخ ۲ دسامبر و از طریق دسترسی غیرمجاز به حساب توسعه‌دهنده کتابخانه روی پلتفرم npm انجام شده است. نسخه‌های ۱.۹۵.۶ و ۱.۹۵.۷ کتابخانه، کد مخربی داشتند که کلیدهای خصوصی کاربران را به یک آدرس کنترل‌شده توسط مهاجمان ارسال می‌کرد. این نسخه‌های آسیب‌دیده در بازه زمانی ۳:۲۰ عصر تا ۸:۲۵ شب (UTC) در دسترس بودند و ابزارها و بات‌هایی که به این کتابخانه وابسته بودند، قربانی اصلی این حمله شدند.

کیف پول‌های معروف Solana مانند Phantom و Solflare اعلام کردند که هیچ‌یک از نسخه‌های آسیب‌دیده را استفاده نکرده‌اند و کاربران آن‌ها در امان بوده‌اند. همچنین، پروژه‌های Drift و Backpack با اطمینان از امنیت سیستم‌های خود، از عدم وقوع هرگونه نفوذ خبر دادند. توسعه‌دهندگان توصیه کرده‌اند که کاربران فوراً به نسخه ۱.۹۵.۸ به‌روزرسانی کنند، وابستگی‌های پروژه‌های خود را بررسی کرده و کلیدهای خصوصی خود را تغییر دهند تا از هرگونه زیان بیشتر جلوگیری کنند.

این حادثه بخشی از روند نگران‌کننده حملات زنجیره تأمین است که در آن هکرها ابزارهای نرم‌افزاری پرکاربرد را هدف قرار می‌دهند. حاکان اونال، دانشمند ارشد بلاکچین در Cyverse، هشدار داد که امنیت وابستگی‌های شخص ثالث، یکی از چالش‌های اصلی در توسعه نرم‌افزار مدرن است، به‌ویژه در حوزه رمزارزها که استانداردهای سخت‌گیرانه‌ای لازم است. حملات مشابه به کتابخانه‌های دیگر مانند Lottie Player نیز رخ داده و خسارت‌های بیشتری در این حوزه به بار آورده است.

منبع