PANews 12月4日消息,慢霧創辦人餘弦發布預警稱,@solana/web3.js 庫的1.95.6 及1.95.7 版本出現供應鏈投毒事件,這些版本中存在可竊取用戶私鑰的後門代碼。目前新版本已修復該安全隱患,主流知名皮夾暫時發現受影響。

據悉,已有真實攻擊案例發生,由於惡意版本僅存活數小時便被發現並下架,受害者可能是及時更新依賴套件的第三方私鑰相關工具或機器人。餘弦提醒開發者應及時檢查專案中使用的相關依賴套件版本。