TechFlow 소식, 12월 4일, 만무(慢雾)의 여현(余弦)이 X(트위터)를 통해 "주의: @solana/web3.js 공급망 중독 주의. 알려진 바에 따르면 버전 1.95.6 및 1.95.7에는 사용자 개인키를 탈취하는 백도어 코드가 존재함. 새 버전은 이러한 위험이 없음. 알려진 유명 지갑들에서는 해당 리스크가 발견되지 않았으나 실제 공격 사례는 발생했음"이라고 게시했다.
여현은 투독된 버전의 생존 기간이 불과 수 시간에 불과했고 금방 발견되어 하차되었기 때문에, 업데이트 의존 패키지를 비교적 신속하게 반영한 제3자 개인키 관련 도구(봇 포함)가 감염되었을 가능성이 있다고 추측했다. 만약 사용자가 해당 패키지를 사용하고 있다면 반드시 점검해야 한다.
이전 커뮤니티 사용자들의 보고에 따르면 @solana/web3.js의 1.95.6 및 1.95.7 버전은 이미 보안 취약점이 확인되었으며, 사용자의 운영 서비스에 주소 블랙리스트 기능이 있는 경우 다음 주소를 블랙리스트에 추가해야 한다: FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx.




