ハッカー、ソラナ社のサプライチェーン攻撃で16万ドルを盗む
ハッカーがソラナJavascriptライブラリに悪意のあるコードをプッシュし、16万ドル相当の資産を吸い上げた。
- 公開: Dec 4, 2024 at 16:58
ハッカーがSolana Javascript Libraryに悪意のあるコードをプッシュし、16万ドル相当の資産を吸い上げました。
ソラナネットワークの参加者は、12月3日のサプライチェーン攻撃で16万ドル以上の損失を被りました。
さらなる損失は、Anzaのエンジニアtrent.solが脆弱性を発表し、エコシステム全体のチームがsolana/web3.jsライブラリを更新し、エクスプロイターのウォレットをブラックリストに登録するよう促した後に抑えられました。
Solanaユーザーの大部分にとって幸いなことに、非保護のウォレットは影響を受けませんでした。
幸いなことに、Solanaユーザーの大部分は影響を受けませんでした。
何が起こったのか?
12月3日、ハッカーは、Solanaベースのアプリケーションで人気のあるJavaScriptライブラリであるsolana/web3.jsへの公開アクセス権を持つアカウントを侵害しました。
ハッカーは無許可で悪意のあるパッケージをライブラリに公開することができ、実質的に秘密鍵データにアクセスできるようになりました。
Anzaのエンジニアであるtrent.solは、エコシステムチームに対し、タイムリーな修正を含む最新バージョンにライブラリをアップグレードするよう促し、最初に警鐘を鳴らしました。
非親告罪のウォレットはハッキングの影響をまったく受けませんでした。しかし、漏洩したライブラリを介して秘密鍵を実行するアプリケーションは、攻撃を受けやすかったかもしれません。Step Finance Engineer Danaによると、これは取引ボットや同様のサービスに影響を与える可能性があるとのことです。
Trojan、BONKbot、Photonのようなツールを使っている何千ものトレーダーにとっては警鐘を鳴らしたかもしれないが、これらのプラットフォームは攻撃の影響を受けなかった。リスクのあるボットは、個人で運営されている独立したツールである可能性が高かったのです。
他のブロックチェーンセキュリティの専門家は、今回の攻撃は、チームが生産ライン全体だけでなく、外部アプリケーションのセキュリティも確保することを強く思い起こさせるものだと指摘している。フィッシング詐欺やソーシャル・エンジニアリング攻撃は、疑う余地のない地域の被害者をターゲットにし、しばしば広範な被害をもたらします。
Anza、迅速に対応し、修正プログラムを展開
Anza は迅速に対応し、修正プログラムを展開しました。
今回の攻撃を受けて、Anza は事件の概要を説明する公式声明を発表しました。その声明の中で Anza は、脆弱性は Solana プロトコル自体には影響せず、むしろ特定のライブラリ内のエクスプロイトであることを明確に強調しています。
そもそもハッキングがどのように発生したのかについての詳細は限られているにもかかわらず、Anza’の迅速な解決はSolanaコミュニティから好評を得ています。
Solanaのエコシステム全体に対する中傷的なコメントに対して、Streamflowの創設者であるMalisha氏は、Anza’のハッキングに対するタイムリーな対応を賞賛しました。
この攻撃は、2024年のライバルチェーンと比較した場合、悪意ある行為者によって失われたものはかなり少なかったソラナネットワークにおけるハッキングとエクスプロイトにとって、明らかに静かな年となった。
ソラナフロアについてもっと読む
ソラナDeFiは一貫してCeFiと肩を並べている
Solana DeFiはCeFiと肩を並べている。
ソラナDeFiアプリは中央集権型取引プラットフォームに取って代わるか
ソラナDeFiアプリは中央集権型取引プラットフォームに取って代わるか?
暗号のセキュリティをダブルチェックする
Solana DeFiアプリは中央取引プラットフォームに取って代わるのか?