Durante el último día se contuvo rápidamente un ataque a la cadena de suministro al ecosistema de la red Solana.
El 3 de diciembre, Anza, un equipo de desarrollo centrado en Solana, reveló que una cuenta con acceso de publicación a la biblioteca JavaScript solana/web3.js se ha visto comprometida.
Esto permitió al atacante inyectar paquetes no autorizados que contenían código malicioso que robaba información de clave privada y drenaba fondos de aplicaciones descentralizadas (dApps) que interactúan con las claves privadas.
Bóveda de cadena de bloques de Solana
El ataque no afectó a las carteras sin custodia, ya que estas carteras no exponen claves privadas durante las transacciones. Los desarrolladores aclararon que el problema es específico de la biblioteca cliente de JavaScript y no involucra el protocolo Solana.
Un acérrimo defensor de Solana, Mert Mumtaz, tranquilizado la comunidad que el ataque fue contenido y destacó que el incidente “no tuvo nada que ver con la seguridad de la población”. [Solana] propia cadena de bloques.
También explicó que el problema afectaba principalmente a los desarrolladores que habían actualizado sus sistemas en un corto período de tiempo, especialmente aquellos que ejecutaban bots de JavaScript o sistemas back-end similares que usaban claves privadas. Los usuarios finales y las billeteras no se vieron afectados en gran medida, ya que no exponen claves privadas.
Mientras tanto, varios proyectos basados en Solana, incluidos Phantom and the Backpack Exchange, confirmado que el exploit no les afectó.
Phantom, la billetera Solana más popular, subraya que nunca habían utilizado las versiones comprometidas de @solana/web3.js, garantizando que la seguridad de sus usuarios permaneciera intacta.
Una pérdida de seis cifras
Si bien el ataque fue contenido rápidamente, el desarrollador seudónimo de DeFiLlama, 0xngmi reportado que algunos inversores perdieron seis cifras a causa del incidente.
En cadena datos sugieren que el ataque malicioso resultó en el robo de activos estimados en 160.000 dólares, principalmente de SOL. La dirección del atacante contenía más de 161.000 dólares en SOL y tokens adicionales por valor de más de 31.000 dólares.
Aunque la pérdida fue significativa, 0xngmi cree que el daño podría haber sido mucho peor. Él explicar que el ataque directo del hacker a las claves privadas podría haber limitado el potencial del ataque, ya que un exploit más sofisticado, como el que se vio en el compromiso de la billetera de hardware Ledger del año pasado, podría haber sido mucho más destructivo.
En este incidente, los atacantes reemplazaron una biblioteca legítima por una biblioteca maliciosa, lo que provocó pérdidas superiores a 610.000 dólares.