近期,有传闻称Phantom 钱包可能因 Solana 的供应链攻击而受损。然而,Phantom 钱包官方确认,其自身未受到攻击影响,依然安全可靠。此次攻击的根源在于 Solana 的 Web3 JS 库被恶意代码注入,导致部分用户的隐私受到威胁。
攻击详情:Web3.js 库的恶意版本
此次攻击于 12 月 2 日被发现,影响了 Solana 的部分构建者和用户。攻击者通过社会工程手段,成功向 Web3.js 库的两个版本(1.95.6 和 1.96.7)植入恶意代码。这些代码可以请求和广播用户的私钥,从而危害钱包安全。
值得注意的是,早期版本如 1.95.8 并未受到影响,用户可通过升级至该版本避免潜在风险。
攻击持续约 5 小时,影响范围有限。这是因为恶意版本被迅速取消发布,但部分应用程序可能已经在此期间暴露了多重签名或其他凭据。
Phantom 钱包的安全声明
Phantom 钱包在第一时间声明,其并未使用受感染的 Web3.js 版本,且未报告任何自身漏洞。尽管可能有部分用户因使用受影响的应用程序而间接暴露隐私,但钱包本身仍保持完整性。
这一声明大大增强了用户对 Phantom 钱包的信任。用户只需确保其使用的应用程序没有依赖受感染的库,即可继续安全使用该钱包。
攻击者的行为模式与影响
根据记录,攻击者在短时间内转移了约 160K 美元的 SOL 和价值 31,300 美元的代币。这些资金随后被转移至新账户,其中一个账户已被 Nansen 标记为高余额钱包。
虽然被盗金额并不算高,但攻击者利用暴露的应用程序和私钥进行测试,表明仍可能存在未被发现的受影响账户。
值得庆幸的是,此次攻击对高价值钱包影响较小。一方面是因为 Solana 网络的高交易失败率,另一方面是许多用户钱包的余额较少,使得攻击收益有限。
供应链攻击的启示
供应链攻击作为一种新型威胁,近年来频繁出现在 Web3 生态中。本次事件中,攻击者通过网络钓鱼手段获取 Web3.js 库的访问权限,从而实现恶意代码的植入。类似事件也曾发生在其他库中,如 Lottie 播放器,但直接针对私钥的攻击相对少见。
Solana 生态的快速发展吸引了大量新用户,这在推动网络增长的同时,也暴露了部分潜在安全风险。项目方需要承担起代码依赖和安全性的责任,特别是在使用开源库时,应尽量避免未经验证的版本。
如何降低风险?
对于普通用户,以下措施可以帮助减少钱包被攻击的可能性:
1.使用独立钱包:将存储资产的钱包与参与 Web3 任务的钱包分离。
2.更新安全版本:确保使用的应用程序和库为最新的安全版本,例如升级到 Web3.js 的安全版本 1.95.8。
3.警惕网络钓鱼攻击:不随意点击陌生链接或授权敏感操作。
4.避免过多依赖第三方应用:减少通过 Telegram 或其他工具连接钱包的操作。
Phantom 钱包在此次供应链攻击中保持安全,其用户可继续放心使用。然而,Solana 的其他部分生态因攻击暴露了一些系统漏洞,这提醒开发者和用户需更加重视代码安全性与依赖管理。
通过采取更严格的安全措施,Solana 社区可以进一步减少此类攻击的影响,保障用户的资产安全。