黑客通过植入后门窃取15.5万美元

黑客通过在智能合约应用开发者使用的代码库中植入后门，成功窃取了多达15.5万美元的加密货币。此次供应链攻击的目标是solana-web3.js，这是一个用于与Solana区块链交互的JavaScript代码库。这些去中心化应用（dapps）允许用户在满足特定条件时自动执行多方之间的货币交易。

后门代码的运作方式

后门代码以收集私钥和钱包地址的形式存在，当直接处理私钥的应用使用solana-web3.js的1.95.6和1.95.7版本时，后门代码会被激活。这些被植入后门的版本在UTC时间周二下午3:20至晚上8:25之间的五小时内可供下载。

完全被攻破的警告

开发该代码库的公司Anza在GitHub上发布消息称，攻击者能够发布未经授权且被修改的恶意软件包，从而窃取私钥并从直接处理私钥的dapps（如机器人）中盗取资金。Anza还敦促所有Solana应用开发者升级到1.95.8版本，并建议怀疑自己可能受到攻击的开发者轮换所有可疑的授权密钥，包括多重签名、程序授权和服务器密钥对。

被盗资金去向

Solscan.io是一个跟踪Solana区块链交易的网站，它显示后门代码将窃取的加密货币发送到一个钱包地址，该地址收集了大约674.8 SOL（Solana货币单位），按当前价格计算约为15.5万美元。在社交媒体上，有人声称在这次攻击中损失了2万美元，另一个人报告损失了未公开数量的数字货币。

攻击来源

安全公司Socket表示，后门被认为是针对Solana维护的官方Web3.js开源库的社会工程/钓鱼攻击的结果。

技术分析

安全研究员Christophe Tafani-Dereeper在Bluesky上表示，他对1.95.7版本的分析发现，黑客在库中添加了一个“addToQueue”函数，导致处理私钥的受影响应用将私钥外泄。对该函数的调用被插入到访问私钥的代码位置。

域名与服务器

Tafani-Dereeper指出，作为后门命令和控制服务器的域名sol-rpc[.]xyz于11月22日通过NameSilo注册。攻击发生时，该域名在Cloudflare内容交付网络后面运行。攻击广为人知后，该网站不再托管在那里。在被Cloudflare托管之前，该域名位于IP地址91.195.240[.]123。

紧急行动建议

GitHub Advisory Database发布消息警告任何可能运行了后门代码的人立即采取行动。该数据库警告称：“任何安装了此软件包的计算机都应被视为完全被攻破。应立即从另一台计算机上轮换存储在该计算机上的所有密钥和秘密。应删除该软件包，但由于可能已将计算机的完全控制权交给了外部实体，因此无法保证删除该软件包会删除安装它所产生的所有恶意软件。”