{"id":3529,"date":"2024-12-05T20:26:34","date_gmt":"2024-12-06T01:26:34","guid":{"rendered":"https:\/\/zidrave.net\/?p=3529"},"modified":"2024-12-05T20:28:45","modified_gmt":"2024-12-06T01:28:45","slug":"biblioteca-solana-web3-js-con-puerta-trasera-para-robar-claves-privadas-y-secretas","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/12\/05\/biblioteca-solana-web3-js-con-puerta-trasera-para-robar-claves-privadas-y-secretas\/","title":{"rendered":"Biblioteca Solana Web3.js con puerta trasera para robar claves privadas y secretas"},"content":{"rendered":"\n

El SDK leg\u00edtimo de JavaScript de Solana se vio comprometido temporalmente ayer en un ataque a la cadena de suministro, donde la biblioteca fue atacada con un c\u00f3digo malicioso para robar claves privadas de criptomonedas y vaciar las billeteras.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Solana ofrece un SDK llamado \u00bb @solana\/web3.js<\/a> \u00bb utilizado por aplicaciones descentralizadas (dApps) para conectarse e interactuar con la cadena de bloques de Solana.<\/p>\n\n\n\n

La empresa de seguridad de la cadena de suministro Socket informa que la biblioteca Web3.js de Solana fue secuestrada para lanzar dos versiones maliciosas para robar claves criptogr\u00e1ficas privadas y secretas para proteger billeteras y firmar transacciones.<\/p>\n\n\n\n

\u00abSe ha detectado un ataque a la cadena de suministro en las versiones  1.95.6<\/strong> y  1.95.7<\/strong> de la popular  biblioteca @solana\/web3.js<\/strong> , que recibe m\u00e1s de ~350.000 descargas semanales en npm\u00bb, explica Socket<\/a> .<\/p>\n\n\n\n

\u00abEstas versiones comprometidas contienen c\u00f3digo malicioso inyectado que est\u00e1 dise\u00f1ado para robar claves privadas de desarrolladores y usuarios desprevenidos, lo que potencialmente permite a los atacantes vaciar las billeteras de criptomonedas\u00bb.<\/p>\n\n\n\n

Solana confirm\u00f3 la violaci\u00f3n<\/a> , afirmando que una de sus cuentas de acceso de publicaci\u00f3n se vio comprometida, lo que permiti\u00f3 a los atacantes publicar dos versiones maliciosas de la biblioteca.<\/p>\n\n\n\n

\n

\u00abHoy temprano, una cuenta de acceso de publicaci\u00f3n se vio comprometida para  @solana\/web3.js<\/code>, una biblioteca de JavaScript que se usa com\u00fanmente en las dapps de Solana. Esto permiti\u00f3 a un atacante publicar paquetes no autorizados y maliciosos que fueron modificados, lo que les permiti\u00f3 robar material de claves privadas y drenar fondos de las dapps, como bots, que manejan claves privadas directamente. Este problema no deber\u00eda afectar a las billeteras sin custodia, ya que generalmente no exponen claves privadas durante las transacciones. Este no es un problema con el protocolo Solana en s\u00ed, sino con una biblioteca de cliente de JavaScript espec\u00edfica y solo parece afectar a los proyectos que manejan claves privadas directamente y que se actualizaron dentro de la ventana de las 3:20 p. m. UTC y las 8:25 p. m. UTC del martes 2 de diciembre de 2024.<\/p>\n\n\n\n

Estas dos versiones no autorizadas (1.95.6 y 1.95.7) fueron detectadas en cuesti\u00f3n de horas y desde entonces no han sido publicadas.\u2756Solana<\/p>\n<\/blockquote>\n\n\n\n

Solana advierte a los desarrolladores que sospechan que fueron comprometidos que actualicen inmediatamente a la \u00faltima versi\u00f3n v1.95.8 y que roten todas las claves, incluidas las multifirmas, las autoridades del programa y los pares de claves del servidor.<\/p>\n\n\n\n

El ladr\u00f3n de claves Solana Web3.js<\/h2>\n\n\n\n

Seg\u00fan el investigador de DataDog,  Christophe Tafani-Dereeper<\/a> , los actores de la amenaza agregaron una funci\u00f3n maliciosa addToQueue que rob\u00f3 claves secretas y privadas y las envi\u00f3 al servidor del atacante.<\/p>\n\n\n\n

\u00abLa puerta trasera insertada en v1.95.7 agrega una funci\u00f3n \u00abaddToQueue\u00bb que filtra la clave privada a trav\u00e9s de encabezados de CloudFlare aparentemente leg\u00edtimos\u00bb, explica el investigador.<\/p>\n\n\n\n

\u00abLas llamadas a esta funci\u00f3n se insertan luego en varios lugares que (leg\u00edtimamente) acceden a la clave privada\u00bb.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Se revis\u00f3 la biblioteca comprometida y se agregaron llamadas a la funci\u00f3n addToQueue a cinco ubicaciones clave en la biblioteca: las funciones\u00a0
fromSecretKey()<\/code>,\u00a0\u00a0
fromSeed()<\/code>,\u00a0\u00a0
createInstructionWithPublicKey()<\/code>y\u00a0
createInstructionWithPrivateKey()<\/code>, y\u00a0
account\u00a0constructor<\/code>.<\/p>\n\n\n\n

Las funciones se utilizan en toda la biblioteca y tienen la siguiente funcionalidad:<\/p>\n\n\n\n