google-news-img

Библиотека Solana скомпрометирована: Потенциальная угроза утечки закрытых ключей – будет ли SOL сбрасывать?

Экосистема Solana столкнулась с серьезной проблемой безопасности, когда было обнаружено, что версии 1.95.6 и 1.95.7 библиотеки @solana/web3.js содержат вредоносный код, способный утекать закрытые ключи.

Несмотря на серьезность потенциальной угрозы, быстрая идентификация и реакция сообщества Solana помогли сдержать последствия инцидента, и основные платформы остались незатронутыми.

Кто пострадал от взлома экосистемы?

Компрометация произошла в результате несанкционированного доступа к учетной записи с публичным доступом для библиотеки JavaScript @solana/web3.js, которая широко используется в даппах Solana.

- Advertisement -

По данным исследовательской компании Anza, специализирующейся на Солане, окно атаки было относительно узким. Оно длилось с 15:20 UTC до 20:25 UTC во вторник, 2 декабря 2024 года.

Злоумышленник модифицировал пакеты, чтобы потенциально извлекать материал закрытого ключа и выкачивать средства из приложений, которые напрямую работают с закрытыми ключами.

Источник: X

Реакция, резко противоположная нарушению

Примечательно, что токен SOL продемонстрировал высокую устойчивость перед лицом этого инцидента безопасности.

- Advertisement -

За последние 24 часа цена выросла на 4,0%, за последнюю неделю прирост составил 2,4%, а за месяц – 45,8%.

Торговая активность оставалась высокой, 24-часовой диапазон колебался от $217,50 до $240,15, что говорит об уверенности рынка в способности экосистемы справиться с проблемами безопасности.

Ведущие платформы в экосистеме Solana быстро перешли к тому, чтобы успокоить пользователей относительно их статуса безопасности:

Phantom Wallet подтвердил через свою команду безопасности, что они никогда не использовали взломанные версии библиотеки.

Solflare и Brave Wallet также сообщили об отсутствии уязвимости. Streamflow также подтвердил, что не пострадал от бреши.

Инцидент в первую очередь угрожал приложениям, непосредственно работающим с приватными ключами, в частности, ботам, в то время как кошельки, не являющиеся хранителями, остались в значительной степени защищенными благодаря своей архитектуре безопасности, предотвращающей прямое воздействие на приватный ключ во время транзакций.

Solana Labs выпускает немедленные обновления

Трент, руководитель отдела по работе с ругательствами компании Solana Labs, посоветовал немедленно обновиться до версии 1.95.8, при этом версия 1.95.5 также подтверждена как незатронутая.

Поставщикам услуг, способным внести адреса в черный список, было предложено предпринять превентивные действия против выявленного вредоносного адреса: FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx.

Anza предоставила исчерпывающее руководство для потенциально затронутых разработчиков, рекомендовав:

  • Немедленное обновление до версии 1.95.8
  • Ротация ключей подозрительных полномочий
  • Обзор конфигураций multisig
  • Оценка полномочий программы
  • Оценка пар ключей сервера

Этот инцидент подчеркивает как уязвимость, так и устойчивость экосистемы Солана.

Несмотря на то, что компрометация критически важной библиотеки создавала значительные риски, быстрая реакция сообщества разработчиков и ограниченное окно воздействия помогли сдержать потенциальный ущерб.

Положительная реакция рынка, о которой свидетельствует рост цен на SOL, говорит о доверии инвесторов к практике безопасности экосистемы и возможностям реагирования на инциденты.

Продолжающаяся сила ценового действия SOL, особенно 45,8%-ный месячный прирост, указывает на то, что инвесторы считают этот инцидент с безопасностью скорее хорошо управляемым, чем системным.

Быстрая идентификация, исправления и прозрачная коммуникация со стороны основных платформ помогли сохранить уверенность рынка в долгосрочных перспективах Solana.

Disclaimer

The contents of this page are intended for general informational purposes and do not constitute financial, investment, or any other form of advice. Investing in or trading crypto assets carries the risk of financial loss. The forecasted data (also called “price prediction”) on this page are subject to change without notice and are not guaranteed to be accurate.

Our Newsletter

Subscribe to our newsletter to get the latest news and promotions.

Vignesh Karunanidhi
Vignesh Karunanidhi
Vignesh Karunanidhi is a seasoned crypto journalist and content editor with over 6.5 years of experience in the crypto and Web3 space. Throughout his career, he has worked with leading platforms such as Watcher.Guru, Milk Road, BeInCrypto Captain Altcoin, and Coin Edition, producing over 8,000 news articles, blogs, and guides on cryptocurrency.