TechFlow đưa tin, ngày 4 tháng 12, Yu Xian của SlowMist đăng bài trên X cho biết: “Lưu ý nguy cơ đầu độc chuỗi cung ứng @solana/web3.js, các phiên bản 1.95.6 và 1.95.7 đã xác định có mã độc chứa backdoor, sẽ đánh cắp khóa riêng của người dùng. Các phiên bản mới hơn đã loại bỏ rủi ro này. Hiện chưa phát hiện ví nổi tiếng nào dính lỗi, nhưng vụ tấn công thực tế đã xảy ra.”
Yu Xian nghi ngờ có thể một số công cụ bên thứ ba liên quan đến quản lý khóa riêng (kể cả bot) đã bị ảnh hưởng do cập nhật phụ thuộc quá nhanh, bởi vì các phiên bản bị nhiễm chỉ tồn tại trong vài giờ trước khi bị phát hiện và gỡ xuống. Người dùng nào từng sử dụng gói này cần lưu ý kiểm tra lại.
Trước đó, người dùng cộng đồng phản ánh rằng các phiên bản 1.95.6 và 1.95.7 của @solana/web3.js đã được xác nhận tồn tại lỗ hổng bảo mật. Nếu dịch vụ do người dùng vận hành có chức năng danh sách đen địa chỉ, cần thêm địa chỉ sau vào danh sách đen: FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx.




