La puerta trasera se cuela en una biblioteca de códigos popular y drena ~155.000 dólares de las carteras digitales
Los piratas informáticos se embolsaron hasta 155.000 dólares al introducir una puerta trasera en una biblioteca de códigos utilizada por los desarrolladores de aplicaciones de contratos inteligentes que funcionan con la criptomoneda conocida como Solana.
El ataque a la cadena de suministro tuvo como objetivo solana-web3.jsuna colección de código JavaScript utilizado por desarrolladores de aplicaciones descentralizadas para interactuar con la cadena de bloques de Solana. Estas “dapps” permiten a las personas firmar contratos inteligentes que, en teoría, operan de forma autónoma en la ejecución de operaciones de divisas entre dos o más partes cuando se cumplen ciertas condiciones acordadas.
La puerta trasera llegó en forma de código que recopilaba claves privadas y direcciones de billetera cuando las aplicaciones que manejaban directamente claves privadas incorporaban las versiones 1.95.6 y 1.95.7 de solana-web3.js. Estas versiones con puerta trasera estuvieron disponibles para su descarga durante un período de cinco horas entre las 3:20 p. m. UTC y las 8:25 p. m. UTC del martes.
Asumir un compromiso total
“Esto permitió a un atacante publicar paquetes maliciosos y no autorizados que fueron modificados, lo que les permitió robar material de clave privada y drenar fondos de dapps, como bots, que manejan claves privadas directamente”, afirmó un mensaje publicado en GitHub por Anza, la empresa que desarrolla la biblioteca de códigos. “Este problema no debería afectar a las carteras sin custodia, ya que generalmente no exponen las claves privadas durante las transacciones”.
Anza instó a todos los desarrolladores de aplicaciones de Solana a actualizar a la versión 1.95.8, que, en el momento en que se publicó esta publicación en Ars, era la última disponible. La compañía alentó además a los desarrolladores que sospechan que podrían haber sido comprometidos en el ataque a rotar cualquier clave de autoridad sospechosa, incluidas multifirmas, autoridades de programa y pares de claves de servidor.
El mismo mensaje fue publicado en las redes sociales por Solana Labs, un desarrollador que bifurcó su cliente original.