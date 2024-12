Solana alerte sur une brèche de sécurité affectant son SDK @solana/web3.js

anyone using @solana/web3.js, versions 1.95.6 and 1.95.7 are compromised with a secret stealer leaking private keys. if you or your product are using these versions, upgrade to 1.95.8 (1.95.5 is unaffected)



if you run a service that can blacklist addresses, do your thing with… — trent.sol (@trentdotsol) December 3, 2024

Plus tôt dans la journée, un compte d'accès à la publication a été compromis pour @solana/web3.js, une bibliothèque JavaScript couramment utilisée par les dapps de Solana. Cela a permis à un attaquant de publier des paquets non autorisés et malveillants qui ont été modifiés, leur permettant de voler des clés privées et de drainer des fonds des dapps, comme les bots, qui gèrent directement les clés privées.



Ce problème ne devrait pas affecter les portefeuilles non conservateurs, car ils n'exposent généralement pas les clés privées lors des transactions.



Il ne s'agit pas d'un problème lié au protocole Solana lui-même, mais à une bibliothèque client JavaScript spécifique, et il ne semble affecter que les projets qui gèrent directement des clés privées et qui ont été mis à jour entre 15 h 20 UTC et 20 h 25 UTC le lundi 2 décembre 2024.



Ces deux versions non autorisées (1.95.6 et 1.95.7) ont été repérées en quelques heures et ont depuis été supprimées du dépôt.



L'analyse différentielle du paquet npm de Solana révèle des URL malveillantes

fromSecretKey()

fromSeed()

createInstructionWithPublicKey()

createInstructionWithPrivateKey()

fromSecretKey() : crée une paire de clés à partir d'un tableau d'octets de clés secrètes brutes ;



: crée une paire de clés à partir d'un tableau d'octets de clés secrètes brutes ; fromSeed() : génère une paire de clés à partir d'une séquence de 32 octets ;



: génère une paire de clés à partir d'une séquence de 32 octets ; createInstructionWithPublicKey() : crée une instruction ed25519 avec une clé privée ;



: crée une instruction ed25519 avec une clé privée ; createInstructionWithPrivateKey() : crée une instruction secp256k1 avec une clé privée.

Les cryptomonnaies : une cible fréquente de la chaîne d'approvisionnement

important to note for all news outlets that will misrepresent this:



- this is a javascript client library, meaning it has nothing to do with the security of the blockchain itself



- if you're a journalist, read the above again



(similar to the Slope hack where they were leaking… https://t.co/yPGV7m9YnP — mert | helius.dev (@0xMert_) December 3, 2024

Earlier today, a publish-access account was compromised for @solana/web3.js, a JavaScript library that is commonly used by Solana dapps. This allowed an attacker to publish unauthorized and malicious packages that were modified, allowing them to steal private key material and… — Anza (@anza_xyz) December 3, 2024