TechFlowの報道によると、12月4日、SlowMistのコサイン氏はX上で「@solana/web3.jsのサプライチェーンによる悪意あるコードの挿入に注意。既知のバージョン1.95.6および1.95.7にはバックドアコードが存在し、ユーザーの秘密鍵を盗む可能性がある。新しいバージョンではこのリスクは解消されている。有名なウォレットではこのリスクは確認されていないが、実際に攻撃が発生している」と投稿した。
コサイン氏は、おそらく依存パッケージの更新が比較的迅速な第三者の秘密鍵関連ツール(ボットを含む)が影響を受けた可能性があると推測している。悪意あるコードが含まれたバージョンは数時間しか公開されず、すぐに発見されて削除された。このパッケージを利用しているユーザーは、調査を徹底する必要がある。
これ以前にもコミュニティのユーザーから、@solana/web3.jsのバージョン1.95.6および1.95.7にセキュリティ脆弱性が確認されたとの報告があり、ユーザーの運営するサービスでアドレスブラックリスト機能を備えている場合は、以下のアドレスをブラックリストに追加すべきである:FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx




