Solana Web3.jsライブラリがバックドアされ、秘密鍵と秘密鍵が盗まれる

昨日、正規のSolana JavaScript SDKがサプライチェーン攻撃で一時的に侵害され、暗号通貨の秘密鍵を盗み、ウォレットを流出させる悪意のあるコードでライブラリがバックドアされた。

Solanaは、分散型アプリケーション（dApps）がSolanaブロックチェーンに接続し、相互作用するために使用する“@solana/web3.js“と呼ばれるSDKを提供している。

サプライチェーンセキュリティ企業のSocketは、SolanaのWeb3.jsライブラリが乗っ取られ、ウォレットのセキュリティとトランザクションに署名するための秘密暗号鍵を盗むために2つの悪意のあるバージョンがプッシュされたと報告している。

“npmで毎週〜35万ダウンロードを受ける人気の@solana/web3.jsライブラリのバージョン1.95.6と 1.95.7でサプライチェーン攻撃が検出されました “とSocketは説明する。

“これらの侵害されたバージョンは、疑うことを知らない開発者やユーザーから秘密鍵を盗むように設計された注入された悪意のあるコードを含み、潜在的に攻撃者が暗号通貨ウォレットを流出させることを可能にする。” Socketは説明している。

Solanaはこの侵害を確認し、公開アクセスアカウントの1つが侵害され、攻撃者が2つの悪意のあるバージョンのライブラリを公開できるようになったと述べた。

Solanaは、不正アクセスを受けたと思われる開発者に対し、直ちに最新のv1.95.8リリースにアップグレードし、マルチシグ、プログラムオーソリティ、サーバーキーペアを含むあらゆるキーをローテーションするよう警告している。

Solana Web3.jsキー・スティラー

DataDogの研究者Christophe Tafani-Dereeperによると、この脅威者は悪意のあるaddToQueue関数を追加し、秘密鍵と秘密鍵を盗んで攻撃者のサーバーに送信しました。

「v1.95.7に挿入されたバックドアは、一見正当なCloudFlareヘッダを通して秘密鍵を流出させる “addToQueue “関数を追加します。

「この関数への呼び出しは、秘密鍵に（合法的に）アクセスするさまざまな場所に挿入される。

侵害されたライブラリを確認したところ、addToQueue関数の呼び出しがライブラリ内の5つの重要な場所（fromSecretKey()、fromSeed()、createInstructionWithPublicKey()、createInstructionWithPrivateKey()関数、アカウントコンストラクタ）に追加されていました。

この関数はライブラリ全体で使用されており、以下の機能を持っています：

• fromSecretKey()：生の秘密鍵バイト配列から鍵ペアを作成する。
• fromSeed()：32バイトのシードからキーペアを生成する。
• createInstructionWithPrivateKey()：秘密鍵を持つ ed25519 命令を作成します。
• createInstructionWithPrivateKey()：秘密鍵を持つsecp256k1命令を作成する。

悪意のあるコードは、渡された秘密鍵か生成された秘密鍵(最初の2つの関数とアカウントコンストラクタ)、または渡された秘密鍵(最後の2つの関数)を盗み、https://sol-rpc[.]xyz/api/rpc/queueにある攻撃者のエンドポイントに送信します。

このドメインは11月22日19:58:27 UTCに登録されており、他の攻撃では使用されていません。

脅威行為者がこれらのキーにアクセスすると、自分のウォレットにキーをロードし、リモートで保存されているすべての暗号通貨とNFTを流出させることができます。

Socketによると、この攻撃はFnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfxSolanaアドレスに追跡されており、このアドレスには現在674.86 Solanaとさまざまな量のIrish Pepe、Star Atlas、Jupiter、USD Coin、Santa Hat、Pepe on Fire、Bonk、catwifhat、Genopets Kiトークンが含まれています。

Solscanによると、盗まれた暗号通貨の推定価値は、本稿執筆時点で184,000ドルである。

このサプライチェーン攻撃でウォレットが危険にさらされた人は、秘密鍵が危険にさらされているため、残っている資金を直ちに新しいウォレットに移し、古いウォレットの使用を中止してください。