Phantom подтверждает безопасность кошельков после уязвимости библиотеки Solana
Phantom, провайдер криптовалютного кошелька на блокчейне Solana, подтвердил, что его платформа остается безопасной, несмотря на уязвимость в библиотеке Solana/Web3.js. Провайдер кошельков заявил, что никогда не использовал скомпрометированные версии (1.95.6 и 1.95.7), заверив пользователей, что их кошельки и средства не пострадали.
Проблему впервые сообщил разработчик Solana Trent.sol, который предупредил, что уязвимые версии библиотеки могут раскрывать приватные ключи, ставя под угрозу средства пользователей. Он рекомендовал немедленно обновиться до версии 1.95.8 и посоветовал сервисам с возможностями черного списка заблокировать конкретные адреса кошельков, связанные с эксплойтом.
Пользователи положительно отреагировали на уверенность Phantom в безопасности, некоторые похвалили его подход к ситуации. Однако были предложения о дополнительных мерах безопасности для предотвращения потенциального истощения кошельков.
Другие проекты Solana реагируют на проблему с библиотекой Web3.js
Другие проекты на блокчейне Solana также отреагировали на уязвимость. Solflare, еще один провайдер кошельков, объявил, что он не затронут, так как использует фиксированные версии программного обеспечения и проводит тщательные проверки кода для снижения рисков. Solflare заявил:
“Solflare не затронут недавней проблемой с solana/web3.js. Мы применяем блокировку версий и проводим строгие проверки кода, как вручную, так и автоматически, чтобы защититься от атак на цепочку поставок. Ваши ключи остаются в безопасности с Solflare.”
Аналогично, Drift, децентрализованная биржа на Solana, подтвердила, что она не затронута уязвимостью, отметив, что ее кодовая база не зависит от скомпрометированных версий библиотеки.
Проблемы безопасности продолжают существовать в блокчейн-системах
Обнаружение этой уязвимости подчеркивает продолжающиеся проблемы безопасности в блокчейн-системах. Анализ показывает, что скомпрометированные версии библиотеки содержали скрытый код, предназначенный для кражи приватных ключей и передачи их на указанный адрес кошелька.
Socket, платформа для обеспечения безопасности разработчиков, подробно описала потенциальные риски, заявив, что разработчики, использующие скомпрометированную версию, могут раскрыть свои приватные ключи, в то время как пользователи приложений, построенных с использованием затронутой библиотеки, могут столкнуться с потерей средств, если их приватные ключи будут скомпрометированы:
“Разработчики, интегрирующие эти версии в свои проекты, рискуют раскрыть свои приватные ключи. Пользователи приложений, полагающихся на скомпрометированную библиотеку, могут потерять средства, если их приватные ключи будут скомпрометированы,” объяснил Socket.