সোলানা নামে পরিচিত ক্রিপ্টোকারেন্সির সাথে কাজ করে এমন স্মার্ট কন্ট্রাক্ট অ্যাপের ডেভেলপারদের দ্বারা ব্যবহৃত কোড লাইব্রেরির পিছনের দরজায় লুকিয়ে হ্যাকাররা $155,000 পকেটস্থ করেছে৷
সাপ্লাই চেইনকে লক্ষ্য করে হামলা চালানো হয় solana-web3.jsসোলানা ব্লকচেইনের সাথে ইন্টারঅ্যাক্ট করার জন্য বিকেন্দ্রীভূত অ্যাপের বিকাশকারীদের দ্বারা ব্যবহৃত জাভাস্ক্রিপ্ট কোডের একটি সংগ্রহ। এই “ড্যাপস” লোকেদের স্মার্ট চুক্তিতে স্বাক্ষর করার অনুমতি দেয় যেগুলি, তাত্ত্বিকভাবে, দুই বা ততোধিক পক্ষের মধ্যে মুদ্রা বাণিজ্য সম্পাদনে স্বায়ত্তশাসিতভাবে কাজ করে যখন কিছু সম্মত শর্ত পূরণ হয়।
ব্যাকডোর কোড আকারে এসেছিল যা ব্যক্তিগত কী এবং ওয়ালেট ঠিকানা সংগ্রহ করে যখন ব্যক্তিগত কীগুলি সরাসরি পরিচালনা করে এমন অ্যাপগুলি solana-web3.js সংস্করণ 1.95.6 এবং 1.95.7 অন্তর্ভুক্ত করে। এই ব্যাকডোর সংস্করণগুলি মঙ্গলবার 3:20 pm UTC থেকে 8:25 pm UTC-এর মধ্যে পাঁচ-ঘণ্টার উইন্ডোতে ডাউনলোডের জন্য উপলব্ধ ছিল৷
সম্পূর্ণ আপস অনুমান
“এটি একজন আক্রমণকারীকে অননুমোদিত এবং দূষিত প্যাকেজগুলি প্রকাশ করার অনুমতি দেয় যেগুলি পরিবর্তন করা হয়েছিল, যার ফলে তারা ব্যক্তিগত কী উপাদান চুরি করতে এবং বটগুলির মতো ড্যাপ থেকে তহবিল নিষ্কাশন করতে দেয়, যা সরাসরি ব্যক্তিগত কীগুলি পরিচালনা করে,” একটি বলেছে৷ বার্তা Anza দ্বারা GitHub এ পোস্ট করা হয়েছে, যে ফার্ম কোড লাইব্রেরি তৈরি করে। “এই সমস্যাটি নন-কাস্টোডিয়াল ওয়ালেটগুলিকে প্রভাবিত করবে না, কারণ তারা সাধারণত লেনদেনের সময় ব্যক্তিগত কীগুলি প্রকাশ করে না।”
আনজা সমস্ত সোলানা অ্যাপ ডেভেলপারদের 1.95.8 সংস্করণে আপগ্রেড করার জন্য অনুরোধ জানিয়েছিল, যে সময়ে এই পোস্টটি Ars-এ লাইভ হয়েছিল, সর্বশেষ উপলব্ধ ছিল। কোম্পানী আরও উৎসাহিত করেছে ডেভেলপারদের যারা সন্দেহ করে যে তারা আক্রমণে আপোস করা হয়েছে মাল্টিসিগ, প্রোগ্রাম অথরিটি এবং সার্ভার কী-পেয়ার সহ সন্দেহভাজন অথরিটি কীগুলি ঘোরানোর জন্য।
একই বার্তা সোলানা ল্যাব দ্বারা সোশ্যাল মিডিয়াতে পোস্ট করা হয়েছিল, একটি বিকাশকারী যেটি তার আসল ক্লায়েন্টকে কাঁটা দিয়েছে৷