Als erfahrener Krypto-Investor mit einem Händchen für die Navigation durch die tückischen Gewässer der Blockchain-Technologie muss ich sagen, dass mich die kürzlich in der Solana/web3.js-Bibliothek entdeckte Schwachstelle nervös macht. Es ist jedoch beruhigend zu sehen, dass Phantom, einer meiner Lieblings-Wallet-Anbieter, seine Sicherheit inmitten dieser Krise schnell bestätigt. Ihr proaktiver Ansatz und ihre Transparenz sind lobenswert.
Phantom versichert den Benutzern, dass auf ihrer Plattform keine Auswirkungen der kürzlich entdeckten Schwachstelle in der Solana web3.js-Bibliothek beobachtet wurden.
Nach der Entdeckung einer Schwachstelle in der Solana/Web3.js-Bibliothek hat sich Phantom – eine digitale Geldbörse, die auf der Solana-Blockchain läuft – zur Sicherheit der Benutzer erklärt. Das Phantom-Team hat überprüft und bestätigt, dass die betroffenen Versionen dieser Bibliothek (1.95.6 und 1.95.7) nicht in ihrer Systeminfrastruktur verwendet werden, um den Benutzern die Sicherheit ihrer Plattform zu gewährleisten.
Benutzer, die die @solana/web3.js-Bibliothek mit den Versionen 1.95.6 und 1.95.7 verwenden, sind anfällig für einen Secret Stealer, der private Schlüssel preisgibt. Wenn Sie oder Ihr Produkt diese Versionen verwenden, wird dringend empfohlen, auf Version 1.95.8 zu aktualisieren (Version 1.95.5 ist sicher).
Für diejenigen, die Dienste verwalten, die Adressen auf die schwarze Liste setzen können, nehmen Sie bitte die entsprechenden Maßnahmen vor Aktion mit…
– trent.sol (@trentdotsol) 3. Dezember 2024
Heute Nachmittag hat der Solana-Entwickler Trent Sol eine Warnung vor einer kompromittierten Bibliothek herausgegeben. Er erklärte, dass die Verwendung dieser betroffenen Versionen Benutzer möglicherweise Angriffen zum Diebstahl von Geheimnissen aussetzen könnte, bei denen Schlüssel verloren gehen könnten, die für den Zugriff auf und die Sicherung von Wallets verwendet werden. Trent empfahl sowohl Produkten als auch Entwicklern, die die anfälligen Versionen verwenden, ein Upgrade auf Version 1.95.8. Er fügte jedoch hinzu, dass frühere Versionen wie 1.95.5 von diesen Problemen nicht betroffen seien.
Laut unserem Sicherheitsteam hat Phantom nie die anfälligen Versionen von @solana/web3.js eingesetzt. Daher bleibt es von dieser Sicherheitslücke unberührt.
– Phantom (@phantom), 3. Dezember 2024
Solana-Ökosystem behebt die Schwachstelle Web3.js
Innerhalb des Solana-Netzwerks wurden rasch Maßnahmen ergriffen, um eine potenzielle Schwachstelle zu beheben. Insbesondere bedeutende Projekte wie Drift, Phantom und Solflare haben ihren Nutzerkreisen versichert, dass sie nicht betroffen sind, weil sie entweder die anfällige Version nicht verwenden oder zusätzliche Sicherheitsmaßnahmen ergriffen haben. Darüber hinaus wird Entwicklern und Projekten innerhalb des Ökosystems empfohlen, ihre Abhängigkeiten zu überprüfen und ihre Bibliotheken zu aktualisieren, um die Sicherheit von Geldern und Daten zu gewährleisten.
Zunahme von Schwachstellen
Die Enthüllung von Trent Sol über eine Schwachstelle in seinem Code weist auf ein häufiges Sicherheitsproblem in Blockchain-Netzwerken hin. Die Untersuchung ergab, dass bestimmte fehlerhafte Versionen der Bibliothek verdeckte Anweisungen enthielten, die darauf abzielten, private Schlüssel zu beschlagnahmen und an eine Wallet mit der Bezeichnung FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx zu übertragen. Der Cloud-Sicherheitsexperte von Datadog, Christophe Tafani-Dereeper, betonte die Komplexität der versteckten Hintertür, die in Bluesky gefunden wurde.
Exklusive Erkenntnisse: In Version 1.95.7 wurde heimlich eine geheime „addToQueue“-Funktion integriert, die den privaten Schlüssel heimlich unter Verwendung scheinbar authentischer CloudFlare-Header-Spezifikationen überträgt. Diese Funktion ist strategisch an verschiedenen Orten platziert, wo sie normalerweise für legitime Zwecke mit dem privaten Schlüssel interagiert.
– Christophe Tafani-Dereeper (@christophetd.fr) 2024-12-03T23:47:18.004Z
Das Auftreten solcher Risiken ist häufiger geworden, wie ein bösartiges Paketereignis in diesem Jahr zeigt, das von The Hacker News detailliert beschrieben wurde und auf den Python Package Index (PyPl) abzielte. Dieses betrügerische Paket mit dem Namen „solana-py“ gab sich als echte Solana-Python-API aus, um Solana-Wallet-Schlüssel zu stehlen und sie auf den Server eines Angreifers zu übertragen. Darüber hinaus nutzte es ähnliche Namen, um Entwickler zu täuschen, was zu 1.122 Downloads führte, bevor es entfernt wurde.
Weiterlesen
- APE PROGNOSE. APE Kryptowährung
- TON PROGNOSE. TON Kryptowährung
- THE PROGNOSE. THE Kryptowährung
- Sandra Lou, CEO von Bitget, verlässt das Unternehmen vier Monate nach Insolvenzgerüchten
- Die 20 besten Filme über amerikanische Präsidenten
- 25 wesentliche Verschwörungstheorie-Filme
- EUR JPY PROGNOSE
- GBP JPY PROGNOSE
- EUR ZAR PROGNOSE
- XRP PROGNOSE. XRP Kryptowährung
2024-12-04 09:08