黑客疑似通过社交工程或钓鱼攻击窃取了 solana-web3.js 开源库维护者的账号,在代码中加入了后门,窃取了价值 15.5 万美元的加密货币。solana-web3.js 被应用用于与 Solana 区块链交互。当应用整合了 solana-web3.js v1.95.6 和 v1.95.7 之后,后门会收集私钥和钱包地址。这些后门版本是在周二 3:20 pm UTC 到 8:25 pm UTC 的五小时内提供下载的。对黑客钱包地址的跟踪显示,共有 674.8 SOL 被盗,SOL 是 Solana 的货币单位,这些加密货币价值约 15.5 万美元。原开发商督促 Solana 应用开发者尽快升级到 v1.95.8。
https://arstechnica.com/information-technology/2024/12/backdoor-slips-into-popular-code-library-drains-155k-from-digital-wallets/