В конце 2024 года сообщество разработчиков и пользователей криптовалютной платформы Solana столкнулось с серьезной угрозой, связанной с атакой цепочки поставок — одной из наиболее коварных и сложных для обнаружения форм кибератак. Вредоносные версии библиотеки @solana/web3.js, точнее версии 1.95.6 и 1.
95.7, были опубликованы на npm 2 декабря 2024 года и оказались зараженными вредоносным кодом, способным похищать приватные ключи пользователей и разработчиков. Несмотря на то, что эти версии были быстро удалены, инцидент стал тревожным сигналом для всей криптоиндустрии и глобального сообщества open-source. Атака цепочки поставок – это манипуляция или внедрение вредоносного кода в программное обеспечение в момент его выпуска или обновления, что в данном случае выразилось в компрометации официальной библиотеки Solana. Судя по всему, злоумышленники получили доступ к аккаунтам поддерживающих библиотеку разработчиков посредством фишинга и смогли изменить код, добавив функцию "addToQueue" — так называемую backdoor функцию, которая перехватывала операции с приватными ключами и передавала их на контролируемый хакерами сервер sol-rpc[.
]xyz, зарегистрированный всего за несколько дней до атаки. Этот инцидент выявил серьезные уязвимости в системе управления зависимостями и безопасности цепочки поставок программного обеспечения, особенно остро затронув проекты, которые напрямую работали с приватными ключами для выполнения транзакций и операций. Среди пострадавших оказались децентрализованные приложения и боты, выполнявшие автоматические операции на блокчейне Solana в течение ограниченного пятиячасового окна, пока вредоносный код оставался активным. Тем не менее, популярные кошельки, такие как Phantom и Coinbase, которые не использовали именно эти заражённые версии, не пострадали, что говорит о важности правильного управления зависимостями и тщательном контроле версий программного обеспечения. Эксперты оценивают общий объем украденных криптовалют, в основном токенов SOL, примерно в 130–160 тысяч долларов, что является значительной суммой, но не катастрофической для такой масштабной платформы.
Тем не менее, нынешний инцидент — лишь один из ряда подобных атак на npm-пакеты, включая известные случаи взломов crypto-keccak и solana-systemprogram-utils, которые также направлены на кражу аутентификационных данных и средств пользователей. Специалисты в области безопасности, включая исследователей Solana Labs и независимых аналитиков, настоятельно рекомендуют всем разработчикам проверить свои зависимости и убедиться, что они не используют компрометированные версии библиотек. Также рекомендуется немедленно обновиться до стабильной и безопасной версии 1.95.8, которая была быстро выпущена для устранения уязвимости.
Важным шагом для пострадавших является ротация ключей, особенно для мультиподписных кошельков и ключей программных авторитетов, чтобы предотвратить дальнейшие атаки. Этот инцидент хорошо иллюстрирует растущую угрозу supply chain атак на экосистемы Web 3.0, демонстрируя, как злоумышленники все чаще используют цепочки поставок как вектор проникновения в целевые системы. По словам экспертов, такие атаки особенно опасны именно потому, что они маскируются под легитимные обновления и компоненты, что значительно усложняет их обнаружение и предотвращение. Для платформ, работающих с криптовалютами и цифровыми активами, где безопасность приватных ключей является критически важным фактором, последствия подобных инцидентов могут быть катастрофическими.
Работа над подобными инцидентами подчеркивает необходимость постоянного усиления контроля качества программных продуктов, а также развертывания продвинутых систем мониторинга и анализа поведения компонентов в «живом» окружении. Развитие традиционных методов управления уязвимостями, основанных на CVE и патчах, уже недостаточно для эффективной защиты от этих новых вызовов. Вместо этого эксперты рекомендуют переходить на проактивные модели безопасности, предусматривающие глубокий анализ рисков, исходящих от сторонних зависимостей, а также регулярный аудит и тестирование кода. Весь криптовалютный сектор, особенно сегмент децентрализованных финансов и приложений, нуждается в совместных усилиях разработчиков, компаний и независимых исследователей безопасности для формирования общей системы обороны. Важно не только оперативно реагировать на инциденты, но и многое делать для предотвращения подобных атак заранее — через обучение пользователей методам кибербезопасности, совершенствование процессов аутентификации разработчиков, интеграцию инструментов безопасной работы с ключами и автоматизацию анализа безопасности зависимостей.
Кроме того, инцидент с библиотекой Solana подтверждает, что хотя крупные проекты и платформы способны обеспечить высокий уровень защиты и избежать серьезных последствий, менее известные или новые проекты часто становятся легкой добычей для злоумышленников из-за слабой безопасности и недостаточных ресурсов. Поэтому каждый участник криптоэкосистемы, будь то крупный кошелек или небольшой разработчик, должен соблюдать стандарты информационной безопасности и осознавать высокий риск, связанный с использованием сторонних компонентов. Для конечных пользователей криптокошельков одним из важных уроков стало подтверждение высокой ценности мультифакторной аутентификации и непрерывного контроля доступа к своим цифровым активам. Пользователи должны выбирать кошельки и решения, которые обеспечивают максимальную изоляцию приватных ключей и не допускают их утечек даже при взломе стороннего программного обеспечения. Многие популярные продукты уже начинают внедрять такие меры защиты, что повышает общий уровень доверия к отрасли.
