Phantom از آسیبپذیری Solana Web3.js ایمن است؛ به کاربران توصیه میشود به زودی بهروزرسانی کنند.
فانتوم تأیید کرده است که تحت تأثیر یک آسیبپذیری کشفشده در کتابخانه سولانا، یعنی Solana/web3.js قرار نگرفته است.
فانتوم، ارائهدهنده کیف پولی که بر روی بلاکچین سولانا (SOL) فعالیت میکند، تأیید کرده است که پس از کشف یک آسیبپذیری اخیر در کتابخانه Solana/Web3.js، ایمن است. طبق بیانیهای که در X منتشر شده، تیم امنیتی فانتوم تأیید کردهاند که نسخههای آسیبپذیر این کتابخانه - 1.95.6 و 1.95.7 - هرگز در زیرساخت آنها استفاده نخواهند شد و به کاربران خود اطمینان دادهاند که پلتفرم آنها امن است.
اوایل امروز، ترنت سول، یک توسعهدهنده سولانا، کاربران را در مورد کتابخانه compromised هشدار داد. او به کاربران اطلاع داد که این نسخهها ممکن است آنها را در معرض حملات secret stealer قرار دهد که قادر به نشت کلیدهای خصوصی استفادهشده برای دسترسی و ایمنسازی کیف پولها هستند. ترنت تأکید کرد که محصولات و توسعهدهندگانی که از نسخههای آسیبپذیر استفاده میکنند باید به نسخه 1.95.8 ارتقا یابند. با این حال، نسخههای قبلی مانند 1.95.5 تحت تأثیر این مسائل قرار ندارند.
اکوسیستم سولانا به آسیبپذیری Web3.js پاسخ میدهد
اکوسیستم سولانا به سرعت به رفع این آسیبپذیری واکنش نشان داده است. پروژههای مهمی مانند Drift، فانتوم و Solflare به جوامع خود اطلاع دادهاند که تحت تأثیر قرار نگرفتهاند، زیرا یا از نسخه آسیبپذیر استفاده نمیکنند یا اقدامات امنیتی دیگری دارند که آنها را ایمن نگه میدارد. توسعهدهندگان و پروژههای اکوسیستم همچنین تشویق میشوند تا وابستگیهای خود را بررسی کنند و کتابخانههای خود را بهروز کنند تا اطمینان حاصل کنند که وجوه و دادهها در امنیت هستند.
افزایش آسیبپذیریها
افشای آسیبپذیری ترنت سول چالشی بزرگتر از امنیت را که اکوسیستمهای بلاکچین اغلب باید با آن مقابله کنند، بازتاب میدهد. تجزیه و تحلیلهای جنایی نشان میدهد که نسخههای خراب شده این کتابخانه حاوی دستورات پنهانی بودند که برای ضبط و انتقال کلیدهای خصوصی به کیف پولی به نام FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx طراحی شده بودند. محقق امنیت ابر، کریستوف تافانی-درسپر از Datadog بر پیچیدگی درب پشتی در Bluesky تأکید کرد.
چنین خطراتی به طور فزایندهای رایج شدهاند، همانطور که در یک حادثه بسته مخرب اوایل امسال گزارش شده توسط The Hacker News مشاهده شده است که به پایگاه داده بستههای پایتون، که بهطور معمول به PyPl معروف است، مربوط میشود. این بسته، "solana-py"، به عنوان API پایتون معتبر سولانا اقدام کرد تا کلیدهای کیف پول سولانا را سرقت کند و آنها را به یک سرور تحت کنترل حملهکننده ارسال کند. این بسته همچنین از شباهتهای نامی برای فریب توسعهدهندگان سوءاستفاده کرد و منجر به 1,122 دانلود قبل از حذف آن شد.
