Solana'nın @solana/web3.js Güvenlik Açığı - $160,000 ve Kripto Anahtarlar çalındı

SOLANA güvenlik açığı   CVE-2024-54134

 CVE-2024-54134 , Solana blok zincirindeki merkezi olmayan uygulamalar (dApp'ler) tarafından yaygın olarak kullanılan JavaScript kitaplığını  etkileyen önemli bir güvenlik açığına işaret eder  . Bu güvenlik açığı, bir yayın erişim hesabını tehlikeye atan bir tedarik zinciri saldırısından kaynaklanmış olup  , saldırganların özel anahtarları çalabilen ve kullanıcıların cüzdanlarından para çekebilen kitaplığın kötü amaçlı sürümlerini yayınlamasına olanak sağlamıştır. @solana/web3.js

Saldırının Detayları

3 Aralık 2024'te, 1.95.6 ve 1.95.7 sürümleri   içlerine gömülü kötü amaçlı kodlarla yayımlandı. Bu kod,  meşru Cloudflare başlıkları gibi görünen adlı bir işlev aracılığıyla özel anahtar bilgilerini sızdırmak için tasarlanmıştı .  Saldırının  etkilenen kullanıcılardan yaklaşık 160.000 $  çalınmasıyla sonuçlandığı bildirildi  .@solana/web3.jsaddToQueue

Uzlaşma Mekanizması

 Saldırının , kütüphanenin bakımcılarını hedef alan bir kimlik avı kampanyası tarafından kolaylaştırıldığı anlaşılıyor  . Saldırganlar yayımlama erişim hesabına eriştikten sonra, yetkisiz paketleri değiştirip yayımlayabildiler .  Kötü amaçlı kod, özel anahtarları doğrudan işleyen dApp'leri hedef aldı ve bu da  3 Aralık 2024'te 15:20 UTC ile 20:25 UTC  arasındaki belirli bir zaman aralığında kütüphanelerini güncelleyen geliştiriciler için özellikle tehlikeli hale geldi  .

Kullanıcılar Üzerindeki Etki

Güvenlik açığı, öncelikli olarak botlar veya saklama dışı yöntemler kullanmayan cüzdanlar gibi özel anahtarları doğrudan işleyen projeleri etkiler. Saklama dışı cüzdanlar, işlemler sırasında özel anahtarları ifşa etmedikleri için bu bağlamda genellikle daha güvenlidir . Tehlikeye atılan sürümleri kullanan geliştiricilerin , bu sorunu gidermek için yayınlanan 1.95.8  sürümüne derhal yükseltmeleri önerilir  .

Geliştiriciler İçin Öneriler

Güvenliğinin ihlal edildiğinden şüphelenen geliştiriciler, aşağıdakiler de dahil olmak üzere potansiyel olarak etkilenen yetki anahtarlarını döndürerek derhal harekete geçmelidir:

• Çoklu imza anahtarları
• Program yetkilileri
• Sunucu anahtar çiftleri

Bu önlem, yetkisiz erişimlerin ve olası maddi kayıpların önlenmesi açısından hayati önem taşımaktadır.

Çözüm

CVE-2024-54134, özellikle tedarik zinciri saldırılarıyla ilgili olarak açık kaynaklı yazılım ekosistemlerinde bulunan güvenlik açıklarını vurgular. Olay, geliştiricilere bağımlılıkların düzenli güncellemeleri ve denetimleri de dahil olmak üzere güvenlik uygulamaları konusunda dikkatli olmaları gerektiğini hatırlatır. Kripto para birimi manzarası gelişmeye devam ederken, hem geliştiricileri hem de kullanıcıları korumak için sağlam güvenlik önlemlerini sürdürmek önemlidir.

Güvenli Uygulamalara Örnek

Bu tür güvenlik açıklarıyla ilişkili riskleri azaltmak için geliştiriciler aşağıdaki uygulamaları uygulamayı düşünmelidir:

1. Bağımlılıkları düzenli olarak güncelleyin : Tüm kitaplıkların güncel olduğundan emin olun ve herhangi bir güvenlik uyarısını izleyin.
2. Muhafaza dışı cüzdanlar kullanın : Mümkün olduğunda, özel anahtarları ifşa etmeyen cüzdan çözümlerini tercih edin.
3. Güvenlik denetimleri gerçekleştirin : Olası güvenlik açıkları açısından kodu ve bağımlılıkları düzenli olarak inceleyin.
4. Ekipleri kimlik avı saldırıları konusunda eğitin : Hesap ihlallerini önlemek için kimlik avı girişimlerini tanıma konusunda eğitim sağlayın.

Geliştiriciler bu stratejileri benimseyerek gelecekte benzer tehditlere karşı güvenlik duruşlarını güçlendirebilirler.

https://github.com/solana-labs/solana-web3.js/security/advisories/GHSA-jcxm-7wvp-g6p5