近期,@solana/web3.js JavaScript 库的 1.95.6 和 1.95.7 版本遭遇了一次复杂的供应链攻击,导致约 16 万美元 SOL 和 31,000 美元其他代币被盗。攻击者利用恶意代码获取用户私钥,并将其发送至指定地址。开发者和用户需立即检查并更新相关版本以确保安全。
本文讨论了Web3安全中SDK审计的重要性,强调了SDK作为连接dApp、钱包和区块链网络的关键层,其安全性常常被忽视。文章详细解释了SDK审计的定义、与智能合约和OpSec审计的区别,以及SDK审计的具体流程和评估领域,并列举了现实世界中SDK漏洞的案例,突出了进行SDK审计的必要性。
Ledger Connect Kit 遭受供应链攻击,攻击者通过入侵前员工的 NPMJS 账户,发布恶意版本的 Ledger Connect Kit,诱导用户将资金转移到攻击者的钱包。该漏洞持续约 5 小时,实际资金损失约 60 万美元。Ledger 采取了修复措施,并与相关方合作阻止攻击,同时建议用户采取安全措施。
本文深入探讨了Web3中供应链攻击的兴起,以及LavaMoat作为防御机制的原理、特性及其存在的绕过方式。文章详细分析了LavaMoat的策略文件、NPM防劫持和Scuttling等安全特性,并通过实例展示了如何利用Webpack和JS Realms的漏洞绕过LavaMoat的保护机制,最终实现供应链攻击。此外,文章还介绍了Metamask针对这些漏洞的修复方案,以及SnowJS的未来发展方向。
本文讲述了一种新颖的供应链攻击方法,作者通过上传恶意Node.js包到npm注册表,利用内部包名称寻找目标公司的安全漏洞,成功入侵了苹果、微软等多家知名企业。主要源于开发者对代码包的盲目信任以及依赖管理工具的设计缺陷。
cyfrin
Three Sigma
olympixai
osecio
alex.birsan