Một cuộc tấn công chuỗi cung ứng vào hệ sinh thái Solana đã nhanh chóng được ngăn chặn trong ngày qua.
Vào ngày 3 tháng 12, Anza, nhóm phát triển tập trung vào Solana, tiết lộ rằng một tài khoản có quyền truy cập công khai vào thư viện JavaScript solana/web3.js đã bị xâm phạm.
Điều này cho phép kẻ tấn công đưa các gói có chứa mã độc đánh cắp thông tin khóa riêng tư (private keys) và rút tiền từ các ứng dụng phi tập trung (dApp) tương tác với khóa này.
Blockchain Solana an toàn
Cuộc tấn công không ảnh hưởng đến ví không lưu ký, vì những ví này không tiết lộ khóa riêng tư trong quá trình giao dịch. Các nhà phát triển đã làm rõ rằng, sự cố này chỉ xảy ra với thư viện máy khách JavaScript và không liên quan đến giao thức Solana.
Mert Mumtaz, người ủng hộ trung thành của Solana, đã trấn an cộng đồng rằng cuộc tấn công đã được ngăn chặn và sự cố này “không liên quan gì đến tính bảo mật của chính blockchain Solana”.
Ông cũng giải thích rằng, vấn đề này chủ yếu ảnh hưởng đến các nhà phát triển đã cập nhật hệ thống của họ trong một khoảng thời gian ngắn, đặc biệt là những người khởi chạy bot JavaScript hoặc các hệ thống phụ trợ tương tự bằng khóa riêng. Người dùng cuối và ví phần lớn không bị ảnh hưởng vì họ không tiết lộ khóa riêng.
Trong khi đó, một số dự án dựa trên Solana, bao gồm Phantom và sàn giao dịch Backpack, đã xác nhận rằng đợt exploit không ảnh hưởng đến họ.
Phantom, ví Solana phổ biến nhất, nhấn mạnh rằng họ chưa bao giờ sử dụng các phiên bản bị xâm phạm của @solana/web3.js, đảm bảo tính bảo mật của người dùng vẫn nguyên vẹn.
Thiệt hại sáu con số
Mặc dù cuộc tấn công đã được ngăn chặn kịp thời, nhưng nhà phát triển ẩn danh của DeFiLlama, 0xngmi, báo cáo rằng một số nhà đầu tư đã mất sáu con số do sự cố này.
Dữ liệu on-chain cho thấy cuộc tấn công độc hại đã khiến lượng tài sản trị giá hơn $160.000 bị đánh cắp, chủ yếu là SOL. Địa chỉ của kẻ tấn công nắm giữ 158.500 USD SOL và các token khác có giá trị hơn 31.000 USD.
Mặc dù tổn thất là khá lớn, nhưng 0xngmi tin rằng thiệt hại có thể đã nghiêm trọng hơn nhiều. Ông giải thích rằng việc hacker nhắm mục tiêu trực tiếp vào khóa cá nhân có thể đã giới hạn phạm vi tấn công, vì một cuộc tấn công tinh vi hơn, chẳng hạn như vụ xâm phạm ví phần cứng Ledger vào năm ngoái, có thể gây ra hậu quả tàn phá lớn hơn nhiều.
Trong sự cố đó, những kẻ tấn công đã thay thế thư viện hợp pháp bằng thư viện độc hại, dẫn đến tổn thất vượt mốc 610.000 USD.
Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn.
Việt Cường
Theo CryptoSlate
