ブロックチェーン技術の危険な海を乗り越えるコツを持った経験豊かな仮想通貨投資家として、Solana/web3.js ライブラリで最近明らかにされた脆弱性には、私は神経をとがらせていると言わざるを得ません。しかし、私のお気に入りのウォレットプロバイダーの1つであるPhantomが、この危機の最中に迅速に安全性を確認しているのを見るのは心強いです。彼らの積極的なアプローチと透明性は賞賛に値します。
Phantom は、Solana web3.js ライブラリ内で最近発見された脆弱性による影響がプラットフォーム上で観察されていないことをユーザーに保証します。
Solana ブロックチェーン上で動作するデジタル ウォレットである Phantom は、Solana/Web3.js ライブラリ内の脆弱性の発見を受けて、それ自体が安全であると宣言しました。 Phantom チームは、このライブラリの影響を受けるバージョン (1.95.6 および 1.95.7) が自社のシステム インフラストラクチャで使用されないことを検証および確認し、ユーザーのプラットフォームの安全性を確保しています。
バージョン 1.95.6 および 1.95.7 の @solana/web3.js ライブラリを使用しているユーザーは、秘密キーを公開するシークレット スティーラーに対して脆弱です。これらのバージョンを使用している場合は、バージョン 1.95.8 に更新することを強くお勧めします (バージョン 1.95.5 は安全です)。
アドレスをブラックリストに登録できるサービスを管理している場合は、適切な措置を講じてください。 …
— trent.sol (@trentdotsol) 2024 年 12 月 3 日
今日の午後、Solana 開発者の Trent Sol は、侵害されたライブラリについて警告を発しました。同氏は、これらの影響を受けるバージョンを利用すると、ユーザーが秘密窃取攻撃にさらされる可能性があり、ウォレットへのアクセスやセキュリティ保護に使用されるキーが漏洩する可能性があると説明した。トレント氏は、脆弱なバージョンを使用している製品と開発者の両方に対して、バージョン 1.95.8 にアップグレードすることを推奨しました。ただし、1.95.5 などの以前のバージョンはこれらの問題の影響を受けないとも付け加えた。
セキュリティ チームによると、Phantom は @solana/web3.js の脆弱なバージョンを使用したことはありません。したがって、この脆弱性の影響を受けません。
— Phantom (@phantom) 2024 年 12 月 3 日
Solana エコシステムは Web3.js の脆弱性に対処します
Solana ネットワーク内では、潜在的な脆弱性に対処するために迅速な措置が講じられています。特に、Drift、Phantom、Solflare などの重要なプロジェクトは、脆弱なバージョンを使用していないか、追加の安全対策を講じているため、影響を受けないことをユーザーベースに安心させています。さらに、エコシステム内の開発者とプロジェクトは、資金とデータのセキュリティを維持するために、依存関係を確認し、ライブラリを更新することが推奨されています。
脆弱性の増加
トレント・ソル氏のコードの脆弱性に関する暴露は、ブロックチェーンネットワーク内のセキュリティに関する共通の問題を指摘しています。調査の結果、ライブラリの特定の欠陥のあるバージョンには、秘密キーを押収し、FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx として特定されるウォレットに転送するように設計された秘密の命令が含まれていたことが明らかになりました。 Datadog のクラウド セキュリティ専門家である Christophe Tafani-Dereeper 氏は、Bluesky で見つかった隠されたバックドアの複雑さを強調しました。
独占的な調査結果: バージョン 1.95.7 では、秘密の「addToQueue」機能が密かに統合されており、明らかに本物の CloudFlare ヘッダー仕様を使用して秘密キーを密かに送信します。この関数は、通常、正当な目的で秘密キーとやり取りするさまざまな場所に戦略的に配置されます。
— Christophe Tafani-Dereeper (@christophetd.fr) 2024-12-03T23:47:18.004Z
The Hacker News が詳述した今年の Python Package Index (PyPl) を対象とした悪意のあるパッケージ イベントで示されているように、このようなリスクの発生はより頻繁になっています。 「solana-py」という名前のこの不正なパッケージは、本物の Solana Python API を装って、Solana ウォレットのキーを盗み、攻撃者のサーバーに転送します。さらに、類似した名前を利用して開発者を欺き、削除されるまでに 1,122 件のダウンロードをもたらしました。
- BTC JPY 予想・見通し・の予想. BTC 暗号通貨
- WIF 予想・見通し・の予想. WIF 暗号通貨
- JPY KRW 予想・見通し・の予想
- USD PHP 予想・見通し・の予想
- ZEX 予想・見通し・の予想. ZEX 暗号通貨
- 2025 年に終了するテレビ番組: 完全なリストを見る
- サム・アルトマンが AGI を再定義: 期待を下げるか、それとも認識を管理するか?
- WazirX ハッキング逮捕:デリー警察、2 億 3,000 万ドルの暗号通貨強盗の容疑者を逮捕
- GBP JPY 予想・見通し・の予想
- ドージコインETFは2025年に発売されるのか?
2024-12-04 09:08