Solana'nın @solana/web3.js Güvenlik Açığı - $160,000 ve Kripto Anahtarlar çalındı

SOLANA güvenlik açığı CVE-2024-54134

CVE-2024-54134 , Solana blok zincirindeki merkezi olmayan uygulamalar (dApp'ler) tarafından yaygın olarak kullanılan JavaScript kitaplığını etkileyen önemli bir güvenlik açığına işaret eder. Bu güvenlik açığı, bir yayın erişim hesabını tehlikeye atan bir tedarik zinciri saldırısından kaynaklanmış olup, saldırganların özel anahtarları çalabilen ve kullanıcıların cüzdanlarından para çekebilen kitaplığın kötü amaçlı sürümlerini yayınlamasına olanak sağlamıştır. @solana/web3.js

Saldırının Detayları

3 Aralık 2024'te, 1.95.6 ve 1.95.7 sürümleri içlerine gömülü kötü amaçlı kodlarla yayımlandı. Bu kod, meşru Cloudflare başlıkları gibi görünen adlı bir işlev aracılığıyla özel anahtar bilgilerini sızdırmak için tasarlanmıştı@solana/web3.jsaddToQueue Saldırının , etkilenen kullanıcılardan yaklaşık 160.000 dolar çalınmasıyla sonuçlandığı bildirildi.

Uzlaşma Mekanizması

Saldırının , kütüphanenin bakımcılarını hedef alan bir kimlik avı kampanyası tarafından kolaylaştırıldığı anlaşılıyor . Saldırganlar yayın erişim hesabına eriştikten sonra, yetkisiz paketleri değiştirip yayınlayabildiler.

Kötü amaçlı kod, özel anahtarları doğrudan işleyen dApp'leri hedef aldı ve bu durum, 3 Aralık 2024'te 15:20 UTC ile 20:25 UTC arasındaki belirli bir zaman aralığında kitaplıklarını güncelleyen geliştiriciler için özellikle tehlikeli hale geldi .

Kullanıcılar Üzerindeki Etki

Güvenlik açığı, botlar veya saklama dışı yöntemler kullanmayan cüzdanlar gibi özel anahtarları doğrudan işleyen projeleri öncelikli olarak etkiler. Saklama dışı cüzdanlar, işlemler sırasında özel anahtarları ifşa etmedikleri için bu bağlamda genellikle daha güvenlidir. Tehlikeye atılan sürümleri kullanan geliştiricilerin , bu sorunu gidermek için yayınlanan 1.95.8 sürümüne derhal yükseltmeleri önerilir .

Geliştiriciler İçin Öneriler

Güvenliğinin ihlal edildiğinden şüphelenen geliştiriciler, aşağıdakiler de dahil olmak üzere potansiyel olarak etkilenen yetki anahtarlarını döndürerek derhal harekete geçmelidir:

Çoklu imza anahtarları
Program yetkilileri
Sunucu anahtar çiftleri

Bu önlem, daha fazla yetkisiz erişimi ve olası mali kaybı önlemek için hayati önem taşımaktadır

Çözüm

CVE-2024-54134, özellikle tedarik zinciri saldırılarıyla ilgili olarak açık kaynaklı yazılım ekosistemlerinde bulunan güvenlik açıklarını vurgular. Olay, geliştiricilere bağımlılıkların düzenli güncellemeleri ve denetimleri de dahil olmak üzere güvenlik uygulamaları konusunda dikkatli olmaları gerektiğini hatırlatır. Kripto para birimi manzarası gelişmeye devam ederken, hem geliştiricileri hem de kullanıcıları korumak için sağlam güvenlik önlemlerini sürdürmek önemlidir.

Güvenli Uygulamalara Örnek

Bu tür güvenlik açıklarıyla ilişkili riskleri azaltmak için geliştiriciler aşağıdaki uygulamaları uygulamayı düşünmelidir:

Bağımlılıkları düzenli olarak güncelleyin : Tüm kitaplıkların güncel olduğundan emin olun ve herhangi bir güvenlik uyarısını izleyin.
Muhafaza dışı cüzdanlar kullanın : Mümkün olduğunda, özel anahtarları ifşa etmeyen cüzdan çözümlerini tercih edin.
Güvenlik denetimleri gerçekleştirin : Olası güvenlik açıkları açısından kodu ve bağımlılıkları düzenli olarak inceleyin.
Ekipleri kimlik avı saldırıları konusunda eğitin : Hesap ihlallerini önlemek için kimlik avı girişimlerini tanıma konusunda eğitim sağlayın.

Geliştiriciler bu stratejileri benimseyerek gelecekte benzer tehditlere karşı güvenlik duruşlarını güçlendirebilirler.

https://github.com/solana-labs/solana-web3.js/security/advisories/GHSA-jcxm-7wvp-g6p5

Kitaplar

Podcast'ler

AI Yazılımı: Güvenlik Tarayıcısı

Trend Yazılarımız

Tehlikeli Takip CVE-2022-2107

CVE-2024-36671: NodeMCU'da Kritik Güvenlik Açığı

EKİM 2024 - Autodesk AutoCAD Güvenlik Açıkları