امنیت Phantom از مشکل Solana Web3.js؛ بروزرسانی به نسخه 1.95.8 توصیه می‌شود

Phantom، یکی از ارائه‌دهندگان برجسته کیف پول در اکوسیستم سولانا ، به کاربران خود اطمینان داده که از آسیب‌پذیری بحرانی که به تازگی در کتابخانه Solana/web3.js کشف شده، تأثیری نگرفته است.

این رخنه، که در نسخه‌های 1.95.6 و 1.95.7 مشاهده شده، شامل کدی مخرب بود که برای سرقت کلیدهای خصوصی طراحی شده بود. این نقص تهدیدی جدی برای برنامه‌ها و توسعه‌دهندگانی بود که به نسخه‌های آسیب‌پذیر وابسته‌اند، و می‌توانست دارایی‌هایی کاربران را در معرض سرقت قرار دهد.

تیم امنیتی Phantom در بیانیه‌ای در X تأیید کرده که این ارائه‌دهنده کیف پول هرگز از این نسخه‌ها در زیرساخت‌های خود استفاده نکرده است، با اطمینان از اینکه کاربران آن‌ها در امان باقی می‌مانند.

این آسیب‌پذیری جامعه توسعه‌دهندگان سولانا را تحت تأثیر قرار داده است.

ترنت سول، توسعه‌دهنده سولانا که اولین بار این هشدار را داد، نسخه‌های آسیب‌دیده را به عنوان «دزد مخفی» توصیف کرد که می‌تواند کلیدهای خصوصی را از طریق عناوین بدیهی CloudFlare افشا کند.

وی توصیه کرد که توسعه‌دهندگان و پروژه‌ها باید فوراً به نسخه 1.95.8 ارتقا یابند یا به نسخه غیرآسیب‌پذیر 1.95.5 برگردند.

علیرغم این آسیب‌پذیری‌ها، پروژه‌های بزرگی مانند Drift ، Solflare و Phantom تأیید کردند که به دلیل اجتناب از نسخه‌های متاثر یا اعمال لایه‌های امنیتی اضافی، مصون هستند.

اشکال در کتابخانه Solana Web3.js: چه کسانی تحت تأثیر قرار می‌گیرند؟

طبق یک پست Socket.dev ، یک حمله زنجیره تامین کتابخانه Solana/web3.js را که یک بخش اصلی برای توسعه دهندگان در حال ساخت در سولانا است، مختل کرده است.

این نوع حمله، با هدف قرار دادن وابستگی‌هایی که به طور گسترده توسط توسعه‌دهندگان استفاده می‌شوند، یک تابع پشتی نام addToQueue را در نسخه‌های 1.95.6 و 1.95.7 وارد کرد.

این عملکرد مخرب اجازه خروج کلیدهای خصوصی را می‌داد و فعالیت خود را به عنوان داده‌های مشروع عنوان CloudFlare پنهان می‌کرد.

پس از ضبط، این کلیدها به یک آدرس کیف پول هاردکد سولانا به نام FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx ارسال می‌شدند.

محققان امنیت سایبری، از جمله کریستوف تفانی درپر از Datadog، نسخه‌های مخرب را تحلیل کرده و به طبیعت پیچیده این رخنه پی بردند.

آنها دریافتند که دامنه مورد استفاده برای این عملیات (sol-rpc[.]xyz) در 22 نوامبر، فقط چند روز قبل از عمومی شدن حمله، ثبت شده بود.

دامنه پشت CloudFlare میزبانی می‌شد و سرور فرمان و کنترل (C2) اکنون آفلاین است.

این جدول زمانی به یک حمله با دقت برنامه‌ریزی‌شده اشاره دارد، که احتمالاً به دلیل یک کمپین فیشینگ یا مهندسی اجتماعی است که هدف آن نگهداری‌کنندگان کتابخانه بوده است.

مدیر بسته npm، که میزبان Solana/web3.js است، نسخه‌های مخرب را سریعاً حذف کرد.

توسعه‌دهندگانی که از نسخه‌های آسیب‌پذیر استفاده می‌کردند، توصیه شد که فوراً به نسخه 1.95.8 بروزرسانی کنند یا پروژه‌های خود را برای وابستگی‌های مشکوک بازرسی کنند.

پیامدهای گسترده‌تر برای امنیت سولانا و Web3

اکوسیستم سولانا به سرعت برای کاهش اثرات اقدام کرده است.

علاوه بر Phantom، پروژه‌های بزرگی مانند Backpack به کاربران خود اطمینان داده‌اند که این رخنه بر آن‌ها تأثیری ندارد.

حملات زنجیره تأمین مانند این روز به روز بیشتر مرسوم شده‌اند زیرا عاملین مخرب ابزارها و کتابخانه‌هایی را هدف قرار می‌دهند که توسعه‌دهندگان به آن‌ها اتکا می‌کنند.

اوایل امسال، یک حمله مشابه شامل بسته مخرب Python به نام «Solana-py»، که خود را به عنوان یک API مشروع نشان می‌داد تا کلیدهای کیف پول را به سرقت ببرد.

به طور مشابه، در اکتبر امسال، تیم تحقیقاتی تهدید Checkmarx یک کمپین بدافزاری جدید در مخزن PyPI کشف کرد که کاربران ارزهای دیجیتال را از طریق یک بسته مخرب به نام “CryptoAITools” هدف قرار می‌دهد.

بدافزار خود را به عنوان یک ابزار معاملاتی ارزهای دیجیتال مشروع نمایش می‌دهد و از یک رابط کاربری گرافیکی فریبنده استفاده می‌کند تا قربانیان را حین اجرای فعالیت‌های مخرب در سیستم‌های ویندوز و macOS دچار حواس‌پرتی کند.

پس از نصب، بدافزار یک فرآیند پیچیده آلوده‌کننده چند مرحله‌ای را آغاز می‌کند که اجزای اضافی را از یک وبسایت جعلی دانلود و داده‌های حساس مانند جملات بازیابی کیف پول، رمزهای عبور ذخیره‌شده، تاریخچه مرورگر، و حتی یادداشت‌های Apple در macOS را به سرقت می‌برد.

فراتر از آلودگی اولیه از طریق PyPI، کمپین به پلتفورم‌های دیگر نیز گسترش می‌یابد و از استراتژی‌های پیچیده مهندسی اجتماعی برای فریب قربانیان بهره‌برداری می‌کند.