PANews 12月4日消息,慢雾创始人余弦发布预警称,@solana/web3.js 库的 1.95.6 及 1.95.7 版本出现供应链投毒事件,这些版本中存在可窃取用户私钥的后门代码。目前新版本已修复该安全隐患,主流知名钱包暂未发现受到影响。

据悉,已有真实攻击案例发生,由于恶意版本仅存活数小时便被发现并下架,受害者可能是及时更新依赖包的第三方私钥相关工具或机器人。余弦提醒开发者应及时检查项目中使用的相关依赖包版本。