![](data:image/svg+xml;charset=utf-8,<svg height="450px" width="800px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
ソラナのエコシステムで脆弱性
ソラナ(Solana/SOL)に特化した研究・開発を行うAnzaは2024年12月4日に公式Xアカウントにて、ソラナエコシステム関連のライブラリで不正なバージョンが配布され、悪用されたと発表しました。
Anzaによると脆弱性が発見されたのはsolana/web3.jsというライブラリで、ソラナ関連のDappsに多く使用されています。
本日、SolanaのDappsでよく使用されるJavaScriptライブラリのsolana/web3.jsの公開権限のあるアカウントが侵害されました。
攻撃者は悪意のあるバージョンを配布することで、秘密鍵情報を盗み、ボットなど秘密鍵を直接処理するDappsから資金を流出させました。この問題は、通常、トランザクション中に秘密鍵を公開しないノンカストディアルウォレットには影響しないはずです。
該当する2つの不正なバージョンは数時間以内に発見され、その後非公開になりました。
ライブラリの不正なバージョンによって、攻撃者は秘密鍵関連の情報を盗み出し、資金が流出した事実が確認されました。また、ソラナのプロトコル自体の問題ではないことも併せて発表されています。
該当するバージョンの問題は、数時間以内に検知され非公開にされました。一方で、関連するシステムを使用する開発者に対して、バージョンのアップグレードを行うように推奨されています。
Phantomは影響なしと発表
DeFiLlamaの開発者である0xngmi氏は、今回の問題で6桁(数十万ドル/数千万円)の流出が発生した可能性を指摘しています。
ハッカーは、認証情報をフィッシングし、悪意のあるバージョンを公開することで、ソラナエコシステムへのサプライチェーン攻撃を実行しました。
これまでに6桁の資金が流出しました。
一方で、ソラナの主要なウォレットであるPhantomはこれまで該当するバージョンを使用したことがないと発表しており、今回の問題で影響を受けなかったとコメントしています。
Phantomはこの脆弱性の影響を受けません。
当社のセキュリティチームが、問題となったsolana/web3.jsのバージョンを一切使用していないことを確認しました。
Anzaの発表によると、直接秘密鍵を処理するボットなどに影響がありました。ノンカストディアルウォレット(Phantomなど)を使用する場合には、問題ないと見られています。
上記の点から、多くの一般ユーザーには問題が発生していません。一方で、該当する開発者及びボット運用者などには、マルチシグ・プログラム権限・サーバーのキーペアといったセキュリティ関連の項目を変更することが推奨されています。
ソラナ関連の注目記事はこちら
![](data:image/svg+xml;charset=utf-8,<svg height="230px" width="360px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Source:X投稿
執筆・翻訳:BITTIMES 編集部
サムネイル:Shutterstockのライセンス許諾により使用