12月4日传出JavaScript软件开发套件（SDK）Solana遭遇供应链攻击，导致部分版本程序库被植入后门程序码，开发人员的加密货币钱包私钥将会遭窃，使得资产被洗劫一空。

这起事故的揭露，最早是由专门研究及开发Solana相关工具的软件业者Anza揭露，该公司主管Trent.sol最先提出警告，指出1.95.6及1.95.7版的Solana SDK「solana-web3.js（或写成@solana/web3.js）」被植入窃资软件，将会导致私钥流出。若是使用上述版本的SDK，应儘速升级至1.95.8版。此外，他强调1.95.5版不受影响。

后来Anza透露，这起事故发生的原因，是@solana/web3.js其中一个具有软件发布权限的帐号遭骇，导致攻击者能在未经授权的情况下发布恶意套件。一旦开发人员安装这些恶意套件，攻击者就有可能窃取他们的私钥，从而榨乾加密货币资产。不过，该公司认为，未受到代管的钱包应不受影响。

Anza认为，这起事故发生的原因并非源自Solana本身的通讯协定，而是特定的JavaScript程序库导致，他们研判只会影响直接处理私钥的流程，以及其他在世界协调时间（UTC）12月2日下午3月20分至晚间8时25分更动的内容。

他们提及Solana开发团队已察觉此事，并撤下1.95.6及1.95.7版，Anza除呼吁开发人员升级新版，若是怀疑自己可能受到这起事故影响，应该轮替疑似遭到窜改的授权金钥因应。

云端程序监控业者Datadog研究员Christophe Tafani-Dereeper指出，攻击者在SDK植入名为addToQueue的功能，并利用看似合法的Cloudflare标头来洩露私钥。

供应链资安业者Socket彙整了整起事故的发生经过，并免费提供他们的工具让开发人员检测。

对此，Solana开发团队也证实确有此事，并在1.95.8版发行公告进行相关说明。

针对这起事故的受害範围，资安新闻网站Bleeping Computer根据研究人员提供的加密货币钱包位址，透过Solana扫描网站Solscan进行调查，估计约有18.4万美元的加密货币遭窃。