Un ataque a la cadena de suministro al ecosistema de la red Solana fue contenido rápidamente durante el último día.
El 3 de diciembre, Anza, un equipo de desarrollo centrado en Solana, reveló que una cuenta con acceso de publicación a la biblioteca JavaScript solana/web3.js estaba comprometida.
Esto permitió al atacante inyectar paquetes no autorizados que contenían código malicioso que robaba información de clave privada y drenaba fondos de aplicaciones descentralizadas (dApps) que interactúan con claves privadas.
La cadena de bloques Solana es segura
El ataque no afectó a las carteras sin custodia, ya que estas carteras no exponen claves privadas durante las transacciones. Los desarrolladores aclararon que el problema es específico de la biblioteca cliente de JavaScript y no involucra el protocolo Solana.
Un firme defensor de Solana, Mert Mumtaz, tranquilizado a la comunidad que el ataque fue contenido, al tiempo que señaló que el incidente “no tuvo nada que ver con la seguridad de la [Solana] blockchain en sí”.
También explicó que el problema afectó principalmente a los desarrolladores que habían actualizado sus sistemas en un corto período de tiempo, específicamente aquellos que ejecutaban bots de JavaScript o sistemas backend similares que usaban claves privadas. Los usuarios finales y las billeteras no se vieron afectados en gran medida, ya que no exponen claves privadas.
Mientras tanto, varios proyectos basados en Solana, incluido Phantom and the Backpack Exchange, confirmado que el exploit no les afectó.
Phantom, la billetera Solana más popular, enfatizado que nunca habían utilizado las versiones comprometidas de @solana/web3.js, garantizando que la seguridad de sus usuarios permaneciera intacta.
Pérdida de seis cifras
Si bien el ataque fue contenido rápidamente, el desarrollador seudónimo de DeFiLlama 0xngmi reportado que algunos inversores perdieron seis cifras debido al incidente.
En cadena datos sugieren que el ataque malicioso resultó en un estimado de $160,000 en activos robados, principalmente en SOL. La dirección del atacante contenía más de 161.000 dólares en SOL y tokens adicionales valorados en más de 31.000 dólares.
Si bien la pérdida es significativa, 0xngmi cree que el daño podría haber sido mucho peor. Él explicado que el ataque directo del hacker a las claves privadas puede haber limitado el potencial del ataque, ya que un exploit más sofisticado, como el que se vio en el compromiso de la billetera de hardware Ledger del año pasado, podría haber sido mucho más destructivo.
En ese incidente, los atacantes reemplazaron una biblioteca legítima por una maliciosa, lo que resultó en pérdidas superiores a 610 000 dólares.
