حمله هکرها به اکوسیستم شبکه سولانا و خسارات شش رقمی کاربران

به گزارش خبرگزاری cryptoslate، طی یک روز گذشته، سولانا شاهد یک حمله به زنجیره تامین در اکوسیستم شبکه خود بود. این گزارش در رابطه با به‌روزرسانی غیرمجاز کتابخانه جاوا اسکریپت سولانا است که خسارات شش رقمی را برای کاربران به همراه داشت. البته، طبق بیانیه‌های منتشر شده این حمله به سرعت مهار شده است.

بنابر انتشار یک گزارش توسط تیم توسعه متمرکز بر سولانا با نام Anza در تاریخ ۳ دسامبر (۱۳ آذر)، یک حساب با دسترسی انتشار به کتابخانه جاوا اسکریپت سولانا (solana/web3.js) هک شده است. این موضوع به مهاجم اجازه داد تا بسته‌های غیرمجاز حاوی کد مخرب را تزریق کند و اطلاعات کلید خصوصی را بدزد و در نهایت دارایی‌ها را از برنامه‌های غیرمتمرکز (dApps) که با کلیدهای خصوصی تعامل دارند، به سرقت ببرد. در این بین به کیف پول‌های غیرمحافظتی اشاره شده است که این حمله تاثیری بر آن‌ها نداشته است، زیرا این کیف پول‌ها در هنگام تراکنش، کلید خصوصی را افشا نمی‌کند.

البته، در همین رابطه، توسعه‌دهندگان توضیح دادند که مشکل، مختص به کتابخانه کلاینت جاوا اسکریپت بوده و ارتباطی با پروتکل سولانا ندارد. مرت ممتاز (Mert Mumtaz) یکی از حامیان سرسخت سولانا، جامعه کریپتو را آرام و اعلام کرده که حمله مهار شده است. او همچنین تاکید کرد که این حادثه هیچ ارتباطی با امنیت بلاکچین سولانا ندارد. این حامی سرسخت افزود که این مشکل عمدتا بر توسعه‌دهندگانی تاثیر گذاشته است که سیستم‌های خود را در یک بازه زمانی کوتاه به‌روزرسانی کرده‌اند، به‌ویژه افرادی که از ربات‌های جاوا اسکریپت یا سیستم‌های مشابه که کلیدهای خصوصی را ارائه می‌دهد، استفاده می‌کنند.

از طرفی، کاربران نهایی و کیف پول‌ها عمدتا تحت تاثیر قرار نگرفته‌اند؛ چرا که این کیف پول‌ها، کلیدهای خصوصی را افشا نمی‌کنند. در کنار صحبت‌های مرت ممتاز، چندین پروژه مبتنی بر سولانا مانند Phantom و صرافی Backpack اعلام کردند که این سوءاستفاده هیچ تاثیری بر آن‌ها نداشته است. Phantom همچنین به‌عنوان محبوب‌ترین کیف پول مبتنی بر سولانا تاکید کرد که مهاجمان هرگز از نسخه‌های هک شده استفاده نکرده و از امنیت کتابخانه جاوا اسکریپت سولانا کاربران خود، حفاظت کرده‌اند.

با این حال، توسعه‌دهنده‌ای با نام مستعار 0xngmi گزارش داد که برخی از سرمایه‌گذاران در این حادثه، زیان‌های شش رقمی کرده‌اند. در این بخش، داده‌های زنجیره‌ای نشان می‌دهند که حمله مخرب، به سرقت دارایی‌هایی به ارزش بیش از ۱۶۰ هزار دلار منجر شده که بیشتر آن به صورت توکن سولانا بوده است. آدرس مهاجم نیز نشان می‌دهد که ۱۶۱ هزار سولانا به همراه توکن‌های اضافی معادل بیش از ۳۱ هزار دلار را در اختیار دارد.

اگرچه این خسارت قابل توجه است اما 0xngmi معتقد است که این آسیب می‌توانست بسیار بدتر باشد. او توضیح داد که هدف‌گیری مستقیم کلیدهای خصوصی توسط هکر ممکن است باعث محدود شدن پتانسیل حمله شده باشد؛ زیرا یک سوءاستفاده پیچیده‌تر، مانند حمله‌ای که در نفوذ به کیف پول سخت‌افزاری لجر (Ledger) در سال گذشته مشاهده شد، می‌توانست بسیار ویرانگرتر باشد. لازم به ذکر است که در آن حادثه، مهاجمان، یک کتابخانه معتبر را با یک کتابخانه مخرب جایگزین کردند که منجر به خسارتی بیش از ۶۱۰ هزار دلار شد.