CVE-2024-54134

Nome do software vulnerável e versões afetadas:

@solana/web3.js, versões 1.95.6 a 1.95.7

Descrição:

Uma conta de acesso de publicação foi comprometida no @solana/web3.js, uma biblioteca JavaScript comumente usada por dapps da Solana. Isso permitiu que um invasor publicasse pacotes não autorizados e maliciosos, possibilitando-lhe roubar chaves privadas e drenar fundos de dapps que lidam diretamente com chaves privadas. O problema não afeta carteiras não custodiais, pois elas geralmente não expõem chaves privadas durante as transações. Trata-se de um problema com uma biblioteca cliente JavaScript específica, afetando projetos que lidam diretamente com chaves privadas e foram atualizados dentro de um intervalo de tempo específico.

Recomendações:

Para as versões 1.95.6 e 1.95.7, atualize para a versão 1.95.8.

Desenvolvedores que suspeitem que possam ter sido comprometidos devem trocar quaisquer chaves de autoridade suspeitas, incluindo multisigs, autoridades de programa, pares de chaves de servidor e assim por diante.