注意 @solana/web3.js 供应链投毒,已知的 1.95.6及 1.95.7 版本存在后门代码,会偷用户私钥。新版本已经没这个风险。已知知名钱包未发现这个风险,但真实攻击是发生的。
猜测也许是更新依赖包比较及时的第三方私钥有关工具(包括 bot)中招了,因为投毒的版本存活也就几小时,很快就被发现并下架了。
如果你有用到这个包,注意排查。
供应链投毒,后门代码,私钥安全,版本风险,依赖更新
使用@solana/web3.js时需警惕供应链投毒,1.95.6和1.95.7版本含后门代码,可能窃取用户私钥。新版本已修复此问题,建议及时更新并排查相关工具。