Vulnerabilidad en Solana (CVE-2024-54134)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
04/12/2024
Última modificación:
04/12/2024
Descripción
Una cuenta de acceso de publicación se vio comprometida para `@solana/web3.js`, una librería de JavaScript que se usa comúnmente en las dapps de Solana. Esto permitió a un atacante publicar paquetes no autorizados y maliciosos que fueron modificados, lo que les permitió robar material de claves privadas y drenar fondos de las dapps, como bots, que manejan claves privadas directamente. Este problema no debería afectar a las billeteras sin custodia, ya que generalmente no exponen claves privadas durante las transacciones. Este no es un problema con el protocolo Solana en sí, sino con una librería de cliente de JavaScript específica y solo parece afectar a los proyectos que manejan claves privadas directamente y que se actualizaron dentro de la ventana de las 3:20 p. m. UTC y las 8:25 p. m. UTC del martes 3 de diciembre de 2024. Estas dos versiones no autorizadas (1.95.6 y 1.95.7) fueron detectadas en cuestión de horas y desde entonces se han anulado. Todos los desarrolladores de aplicaciones de Solana deben actualizar a la versión 1.95.8. Los desarrolladores que sospechen que pueden estar comprometidos deben rotar todas las claves de autoridad sospechosas, incluidas las multifirmas, las autoridades del programa, los pares de claves del servidor, etc.
Impacto
Puntuación base 4.0
8.30
Gravedad 4.0
ALTA