Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атакующие внедрили вредоносный код в web3.js, официальный JavaScript-клиент для криптовалюты Solana"	+/–
Сообщение от opennews (ok), 04-Дек-24, 10:22
Выявлен факт подстановки вредоносного кода в библиотеку @solana/web3.js,  насчитывающую в репозитории NPM  400-500 тысяч загрузок в неделю. Вредоносные изменения были включены в состав выпусков web3.js 1.95.6 и 1.95.7, и сводились к интеграции кода для отправки на внешний сервер закрытых ключей. Целостность проекта восстановлена в выпуске 1.95.8. Разбор причин инцидента пока не завершён, но по предварительным данным вредоносные релизы были размещены через компрометацию учётной записи сопровождающего, используя методы социального инжиниринга и фишинга... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62339
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+7 +/–
Сообщение от Жироватт (ok), 04-Дек-24, 10:22
Никогда такого не было - и вот опять. А ТЫ уже обновил все свои лефтпады из нпм на свежую протрояненную версию с отравленными зависимостями зависимостей зависимостей?
Ответить | Правка | Наверх | Cообщить модератору

	3. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	–1 +/–
	Сообщение от Криптокибер (?), 04-Дек-24, 10:36
	Только как получить эту вашу Солану. Как ввести, как вывести? С виндовза можно? Там будут трояны?
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (6), 04-Дек-24, 10:41
	Какая винда? Кастомный дистриб собирай на базе LFS, спокойней будешь. Миллионы первому встречному доверять - глупо.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+2 +/–
	Сообщение от 1 (??), 04-Дек-24, 10:48
	Главное - не забывать обновляться ... Сколько там уязвимость действовала ? Как раз чтоб ключики утекли ?
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+4 +/–
	Сообщение от Аноним (23), 04-Дек-24, 11:25
	Ты забываешь что помимо тысячи глаз в опенсорсе есть тысячи рук, которые так и норовят вставить свой троян или вульн в каждую либу. А тот же lfs не даёт гарантии безопасТности.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	34. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (34), 04-Дек-24, 12:09
	Ты забываешь, что абслолютную гарантию не даёт никакое творение рук человеческих. Если и даёт гарантию, то с какой-то вероятностью <100%. Так что и без третьих рук.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
	Сообщение от есть такая штука называется вероятность. (?), 04-Дек-24, 14:04
	Есть такая штука, сейчас будет сложно, называется вероятность. Так вот в закрытый коммерческий проект где все либы свои левый васян ничего внедрить не может как бы он не хотел.
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+4 +/–
	Сообщение от 1 (??), 04-Дек-24, 14:17
	Зато правый Петя навтыкает туда троянов, по самое нихачу.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
	Сообщение от Аноним (23), 04-Дек-24, 14:51
	Петя действовал по команде и внедрил туда правильный согласованный троян. А Вася получил от менеджера линейкой по рукам и имел неприятный разговор с господином мейджером за бутылочкой виски только попытавшись подумать внедрить свою поделку.
	Ответить | Правка | Наверх | Cообщить модератору

	61. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (-), 04-Дек-24, 15:00
	Для этого ему придется войти в сговор с командой, тк это не попенсорс где васян может делать PR раз в сто лет. Но! Даже если будет заговор на уровне команды, то паспортные данные и адреса всех этих деятелей известны. В случае чего фирма с радостью передаст их полиции, которые их могут даже в тюрячку посадить. Ну или коллеги просто сходят в гости и набьют физиономии) А вот в опенсорсах считается нормой, когда критическая инфраструктура пишется непонятными анонами без роду и племени.
	Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

	7. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+7 +/–
	Сообщение от Аноним (7), 04-Дек-24, 10:42
	Ты не понял, "качай мне все зависимости" это современно плюс js безопасно работает с памятью!
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	17. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+5 +/–
	Сообщение от Ананимус (?), 04-Дек-24, 11:19
	Причем здесь зависимости зависимостей? Это официальный клиент. Примерно как если бы дыра появились в libpq.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	25. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (23), 04-Дек-24, 11:27
	Официальный клиент может быть и зависимостью и зависимостью зависимости.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
	Сообщение от Ананимус (?), 04-Дек-24, 15:29
	> Официальный клиент может быть и зависимостью и зависимостью зависимости. Автор вспомнил про leftpad, который буквально был модулем на одну функцию, что сломало куче людей пакеты. Здесь же речь идет не о supply chain attack на какой-то мелкий модуль в цепочке зависимостей, а про компроментацию окружения разработчика проекта и вставку бекдора. Что может случиться буквально с кем угодно, как показала история с xz. Поэтому все и рофлят с пердежа про leftpad, потому что в данном случае он ваще не в тему. А то что клиент криптобиржи может быть чейто зависимостью это очень странный заход. Предлагается в каждом проекте писать весь API заново? Это шиза.
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	–1 +/–
	Сообщение от Аноним (23), 04-Дек-24, 16:50
	Да в критических задачах и в критических инфраструктурах все пишется заново. Представь себе.
	Ответить | Правка | Наверх | Cообщить модератору

	96. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Ананимус (?), 04-Дек-24, 18:48
	> Да в критических задачах и в критических инфраструктурах все пишется заново. Представь > себе. Начинается... В Сбербанке (достаточно критичная финансовая организация?) никто не пишет свой libpq чтобы к постгресу подключиться. Все просто берут libpq из репозиториев. Потому что наркоманов, пишущих все самостоятельно, можно встретить только на опеннете, потому что они делают это в своих влажных фаннтазиях. Все остальные используют какую-нибудь монгу из репов Убунты и просят ещё.
	Ответить | Правка | Наверх | Cообщить модератору

	125. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (125), 04-Дек-24, 21:48
	В Сбербанке ты не можешь просто так использовать зависимость. Только если её уже одобрили и добавили в внутренний репозиторий.
	Ответить | Правка | Наверх | Cообщить модератору

	117. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (-), 04-Дек-24, 20:16
	> Да в критических задачах и в критических инфраструктурах все пишется заново. Представь себе. И какие гарантии что сотрудники там - все белые и пушистые, никогда не лажаются, и вообще? А, никаких?! И чем тогда это лучше предыдущей схемы?...
	Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

	43. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (-), 04-Дек-24, 13:27
	И люди проглядевшие бекдор в ХЗ либе или Bvp47 запрещают жабаскриптерам ковыряться в носу? Чем этот лефтпад отличается от 100500 библиотек и зависимостей, которые обновляются в любом дистрибутиве? Воистину "в чужом глазу песчинку разглядывают, когда в своем уже ЖинТяны с бревнами"
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	55. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (55), 04-Дек-24, 14:39
	>А ТЫ уже обновил все свои лефтпады из нпм на свежую протрояненную версию с отравленными зависимостями зависимостей зависимостей? А ты до сих пор сидиш на зависимостях, к которым уже эксплоиты успеил написать?
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+6 +/–
Сообщение от Аноним (2), 04-Дек-24, 10:23
> JavaScript > web3 > криптовалюты > вредоносный код Бинго?
Ответить | Правка | Наверх | Cообщить модератору

	20. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+2 +/–
	Сообщение от Аноним (20), 04-Дек-24, 11:22
	за определенную сумму (например $10 000) я тоже могу сказать что мою учетку скомпроментировали....
	Ответить | Правка | Наверх | Cообщить модератору

	122. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Ivan_83 (ok), 04-Дек-24, 20:55
	Фу позорник за такой мизер так рисковать репутацией и может даже свободой.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
	Сообщение от Аноним (45), 04-Дек-24, 13:38
	Когда XZ скомпрометировали, тоже JavaScript был виноват? Или это другое, понимать надо?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	47. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (-), 04-Дек-24, 13:42
	> Когда XZ скомпрометировали, тоже JavaScript был виноват? Или это другое, понимать надо? Конечно другое! Как можно сравнивать дырень которую внедрили почти во все дистрибутивы с какой-то крипрой. Крипта это опаснее и важнее! Зато качали на с какого-то NPM, а тарболчики с самого репизитория! Надежнее же не бывает!
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (67), 04-Дек-24, 16:21
	XZ тоже был тарболчиком с самого репизитория.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от есть такая штука называется вероятность. (?), 04-Дек-24, 14:06
	По статистике да.
	Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

4. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
Сообщение от Аноним (4), 04-Дек-24, 10:39
Я конечно не эксперт с необходимой экспертизой, но ... почему (сторонний) клиент напрямую работает с приватными (секретными) ключами?
Ответить | Правка | Наверх | Cообщить модератору

	27. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (23), 04-Дек-24, 11:28
	Как ты предлагаешь это делать накривую?
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (34), 04-Дек-24, 12:12
	Через разделение процессов, клиент - сервер?
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (23), 04-Дек-24, 12:21
	Это ещё на каждого бота свой промежуточный сервер? Это сложно и противоречит принципу децентрализованности.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
	Сообщение от Аноним (34), 04-Дек-24, 13:08
	Локальное разделение, на компе у пользователя кошелька или чего там ещё. Код на JS говорит другому процессу, вот это подпиши, а не сам берёт ключ и подписывает.43
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
	Сообщение от Аноним (23), 04-Дек-24, 14:52
	Оверинжиниринг и сложно.
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
	Сообщение от Анониссимус (?), 04-Дек-24, 15:05
	Ещё и бесполезно. От этой уязвимости может и спасёт, но монетки всё равно не будут в безопасности.
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	–1 +/–
	Сообщение от Аноним (60), 04-Дек-24, 14:59
	Ты сейчас описал концепцию холодных ключей, который есть рекомендованный способ для хранения значимых сумм в крипте.
	Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

	106. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (106), 04-Дек-24, 19:40
	Обычно это осуществляется через провайдера безопасности. В виде запроса - клиент ввел пару логин-пароль - это верно? Здесь - зашифруй данные ключом клиента. Секрет хранится инфраструктурой безопасности и только она имеет прямой доступ к секрету.
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	56. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (55), 04-Дек-24, 14:46
	Если вам действительно нужен ключ, то вам нужен и публичный и приватный. Вы же не только шифровать, но и расшифровывать собираетесь?
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	74. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (4), 04-Дек-24, 17:26
	Нужен транзакционный (сессонный) ключ - приватный и публичный. Запросили транзакционный приватный ключ, сгенерировали публичный. Подписали транзакцию, уничтожили приватный ключ. Если и украли приватный ключ транзакции, потеряли только транзакцию.
	Ответить | Правка | Наверх | Cообщить модератору

	121. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (106), 04-Дек-24, 20:50
	Чтобы расшифровать сообщение от другого нужен Его публичный ключ, который выдается визави.
	Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

5. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
Сообщение от ryoken (ok), 04-Дек-24, 10:39
>>работающих с зарытыми ключами уху
Ответить | Правка | Наверх | Cообщить модератору

	15. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от RM (ok), 04-Дек-24, 11:13
	Так отсылка к Буратыно же, классика...
	Ответить | Правка | Наверх | Cообщить модератору

8. Скрыто модератором	+/–
Сообщение от нах. (?), 04-Дек-24, 10:48
эх, говорили мне - учи жабаскрипт... :-(
Ответить | Правка | Наверх | Cообщить модератору

	18. Скрыто модератором	+3 +/–
	Сообщение от User (??), 04-Дек-24, 11:20
	Нахрена? Для работы в "служба безопасности сбербанка - у вас подозрительные транзации, СРОЧНО вышлите генерал-фельдмаршалу ФСБ свой закрытый ключ!!!" знание этого самого - не требуется...
	Ответить | Правка | Наверх | Cообщить модератору

	36. Скрыто модератором	+/–
	Сообщение от Аноним (34), 04-Дек-24, 12:15
	Тоньше: "Ваш счёт опасносте, срочно переведите на безопастный счёт!"
	Ответить | Правка | Наверх | Cообщить модератору

	40. Скрыто модератором	+/–
	Сообщение от User (??), 04-Дек-24, 12:25
	> Тоньше: "Ваш счёт опасносте, срочно переведите на безопастный счёт!" Не, тут же не пользователей развели, а ажно целого "сопровождающего"(ТМ) - тут "тоньше" не надо, может и не понять...
	Ответить | Правка | Наверх | Cообщить модератору

	81. Скрыто модератором	+/–
	Сообщение от нах. (?), 04-Дек-24, 18:21
	> Не, тут же не пользователей развели, а ажно целого "сопровождающего"(ТМ) - тут все они так говорят!
	Ответить | Правка | Наверх | Cообщить модератору

	80. Скрыто модератором	+/–
	Сообщение от нах. (?), 04-Дек-24, 18:21
	блин, ну я не могу с людьми работать... противно. А тут сплошные технологии. (а потом да, рассказываешь что "позвонили из службы безопастносте сбербанка и потребовали логин и пароль и даже fido-токен от шитхаба для безопатсносте моего счета", и все пацаны вон - ведутся, никаких проблем у чувака, кроме мелочной - островов в тихом океане слишком много, тяжело себе выбирать только один.)
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	46. Скрыто модератором	+/–
	Сообщение от Аноним (45), 04-Дек-24, 13:41
	Jia Tan, кстати, JS не учил, но таки смог
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	83. Скрыто модератором	+1 +/–
	Сообщение от нах. (?), 04-Дек-24, 18:23
	> Jia Tan, кстати, JS не учил, но таки смог чего смог? Провалил задание, казнен в подвалах лу... э... хрен его знает что там в Пекине за подвал, печень пересадят важному партийному деятелю, почки тоже, мозг - скормят крысам.
	Ответить | Правка | Наверх | Cообщить модератору

11. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+2 +/–
Сообщение от Аноним (7), 04-Дек-24, 10:56
Если вы загружаеты свой приватный ключ на вебприложуху, то тут проблема не в жабаскрипте.
Ответить | Правка | Наверх | Cообщить модератору

13. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	–3 +/–
Сообщение от Соль земли (?), 04-Дек-24, 11:09
Кому-то не пофиг на криптовалюты? Которые могут обвалиться в любое мгновение.
Ответить | Правка | Наверх | Cообщить модератору

	14. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (4), 04-Дек-24, 11:13
	Так как бежать больше некуда, бегут в крипту. Обвал крипты означает пи...дец деньгизму.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Хрю (?), 04-Дек-24, 17:35
	В золото и прочие драгметаллы. Литий перспективен. Ну и ВНЕЗАПНО — фьючерсы на каннабис.
	Ответить | Правка | Наверх | Cообщить модератору

	29. Скрыто модератором	+8 +/–
	Сообщение от Наибулина (?), 04-Дек-24, 11:30
	Молодец. Храни всё в рубле. Он обваливается не любой, а только в нужный момент. Как я скажу.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	33. Скрыто модератором	+/–
	Сообщение от Аноним (33), 04-Дек-24, 12:08
	А!!! Такой хитрый ход, что бы не хранили, а тратили или вкладывали в бизнес. А по поводу перегретости экономики ты Ж:) для вида верещишь?
	Ответить | Правка | Наверх | Cообщить модератору

	44. Скрыто модератором	+3 +/–
	Сообщение от Аноним (34), 04-Дек-24, 13:27
	>Как я скажу. Поправил: Как тебе скажут.
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

	41. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	–1 +/–
	Сообщение от Аноним (41), 04-Дек-24, 12:53
	Храни сбережения в рублях! (А доллар не в коем случае!)
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	68. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от nume (ok), 04-Дек-24, 16:34
	Ну-ну, сколько уже говорят что биткоин всё? А он всё растёт и растёт (и не только он).
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	72. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	–1 +/–
	Сообщение от Аноним (72), 04-Дек-24, 17:04
	С битком главное дождаться, когда он "ну вот теперь он точно фсе, ха ха, а мы предупреждали", и в этот момент покупать.
	Ответить | Правка | Наверх | Cообщить модератору

21. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
Сообщение от Аноним (-), 04-Дек-24, 11:24
Дурики какие-то... зачем им какая-то крипта? Вот лучше бы сломали kernel.org и сопутствующую инфру как раньше. > распространялись через NPM во вторник 3 декабря c 18:20 по 23:25 Всего-то? Жалкие 11 часов?
Ответить | Правка | Наверх | Cообщить модератору

	30. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
	Сообщение от Аноним (30), 04-Дек-24, 11:40
	Зачем мучиться с kernel.org, когда написал простенький скрипт для перечисления на свой кошелёк и в продакшон.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (52), 04-Дек-24, 14:10
	> c 18:20 по 23:25 > 11 часов Раз десять перепроверил, пытаясь понять где я мог ошибиться в вычитании.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	54. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+3 +/–
	Сообщение от Аноним (33), 04-Дек-24, 14:32
	Четверичная система вычислений - это круто! Спалился рептилоид!
	Ответить | Правка | Наверх | Cообщить модератору

	109. Скрыто модератором	+/–
	Сообщение от Аноним (106), 04-Дек-24, 19:58
	Откуда 8 в четверичной системе? (0 .. 7 )
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Ты не понял (?), 04-Дек-24, 17:15
	Это время засекалось во время полета вокруг Земли. Такое время может иметь любые значения, но результат один - 11 часов и точка!
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

26. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
Сообщение от Бывалый Смузихлёб (ok), 04-Дек-24, 11:27
Т.е никакой проверки заливаемого релизного кода в проекте нет ?
Ответить | Правка | Наверх | Cообщить модератору

	39. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
	Сообщение от Аноним (23), 04-Дек-24, 12:22
	Мы всегда проверяем. /me смех
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (45), 04-Дек-24, 13:43
	Так проверял тот же, кто и релизил. Предлагаешь ему свой же бекдор отрежектить?
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	58. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (4), 04-Дек-24, 14:52
	Так отрежектил же. Но есть ньюанс.
	Ответить | Правка | Наверх | Cообщить модератору

66. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	–1 +/–
Сообщение от Аноним (66), 04-Дек-24, 15:43
А что за ключи отправляют? Я думал берут ~/.ssh/*, а по скриншотам там как будто... ключи от самой соланы берут? С кошельков чтоб воровать?
Ответить | Правка | Наверх | Cообщить модератору

	70. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (23), 04-Дек-24, 16:55
	От квартиры.
	Ответить | Правка | Наверх | Cообщить модератору

76. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
Сообщение от Хрю (?), 04-Дек-24, 17:34
А будет ещё хуже. С нуля писать это не вариант, в большинстве случаев заказчик просто пошлет нафиг, а аудит 100500 зависимостей, которые являются чьими то зависимостями тоже задача невыполнимая.
Ответить | Правка | Наверх | Cообщить модератору

79. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
Сообщение от Аноним (79), 04-Дек-24, 18:00
1. Создаю шорт на солану. 2. Добавляю в репизиторий соланы хорошо заметную уязвимость. Заметность нужна, чтобы быстро обнаружили и не пришлось платит проценты за перенос шорта на следующие дни. 3. Жду когда находят уязвимость. Либо "нахожу" её сам и быстрее бегу писать новость на опеннете. 4. С распространением новости, котировка соланы стремительно падает вниз. 5. Закрываю шорт. 6. Еду в Вегас транжирить полученный куш. 7. Нажираюсь в хлам. 8. Женюсь на какой-то блондинке. 9. Просыпаюсь утром с больной головой. 10. Обнаруживаю блондинку, пишущую заявление о разводе. 11. Хорошо, что весь куш я уже промотал!
Ответить | Правка | Наверх | Cообщить модератору

	84. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (4), 04-Дек-24, 18:23
	> Создаю шорт на солану. Зашел на первый попавшийся сайт с курсом соланы. 1 декабря упала с ~235 до ~225 и вернулась обратно 3 декабря, когда официально обнаружили. Как-то в другую сторону всё работает.
	Ответить | Правка | Наверх | Cообщить модератору

	90. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от нах. (?), 04-Дек-24, 18:27
	> Зашел на первый попавшийся сайт с курсом соланы. 1 декабря упала с > ~235 до ~225 и вернулась обратно 3 декабря, когда официально обнаружили. > Как-то в другую сторону всё работает. денежки с кашелечечков наивных л-x08 - достались правильному пацану. Вот так и работает.
	Ответить | Правка | Наверх | Cообщить модератору

	113. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
	Сообщение от Аноним (113), 04-Дек-24, 20:05
	> денежки с кашелечечков А вам остаётся лишь смотреть и испытывать чувство зависти.
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
	Сообщение от Аноним (113), 04-Дек-24, 18:26
	Вообще незначительно упала,в пределах волатильности Это не та новость которая вызывает массовый сброс монет Это новость для гиков с оупеннет и прочих похорониксов
	Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

	94. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	–1 +/–
	Сообщение от Аноним (94), 04-Дек-24, 18:36
	Речь не про последнюю уязвимость.
	Ответить | Правка | Наверх | Cообщить модератору

86. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
Сообщение от Аноним (-), 04-Дек-24, 18:25
> JavaScript SDK для работы с криптовалютой Solana из приложений, > запускаемых в браузере или использующих такие платформы, как Node.js и React Native. Казалось бы, что в этой схеме с такими программистами может пойти не так, если там еще и бабки крутиться будут...
Ответить | Правка | Наверх | Cообщить модератору

100. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
Сообщение от Аноним (100), 04-Дек-24, 19:04
Это цена отсутствия чучхе. Кто не хочет компрометации - тот пишет всю экосистему сам, с нуля. Начиная от выпечки чипов. И литографического оборудования. И вообще с собственных вооружённых сил для защиты от тех, кто считает, что бекдоры должны быть во всём, а к тем, кто не согласен, отправляет убедительных людей с металлическим убеждателем. Да, это дорого. Безопасность в принципе не может быть дешёвой: обезапашивают то, что стоит дорого, и если преодоление безопасности хоть вполовину будет дешевле стоимости защищаемого по невозвратным издержкам, то это уже 100% рентабельность на языке экономики. Ежели же все издержки возвратные, то стоимость того, что берут бесплатно, вообще роли не играет, выгодно преодолевать безопасность при любом раскладе.
Ответить | Правка | Наверх | Cообщить модератору

	103. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	–1 +/–
	Сообщение от Ананимус (?), 04-Дек-24, 19:10
	> Это цена отсутствия чучхе. Кто не хочет компрометации - тот пишет всю экосистему сам, с нуля. Правда никто этого никогда не делает, потому что деньги считать умеют. Но когда это останавливало влажных опеннетчиков?
	Ответить | Правка | Наверх | Cообщить модератору

	104. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+2 +/–
	Сообщение от Аноним (113), 04-Дек-24, 19:27
	> Правда никто этого никогда не делает Вы заблуждаетесь. Крупные проекты (не стартапы) пишут всё с нуля. Фейсбук, ВК, Яндекс, Амазон... тысячи их!
	Ответить | Правка | Наверх | Cообщить модератору

	107. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	–4 +/–
	Сообщение от Аноним (94), 04-Дек-24, 19:40
	Посмешил. Все перечислинные начинали что-то делать с нуля только уже став монополистами и лопаясь от капитализации. И то, только потому, что когда в компании тьма продакт менеджеров, им полюбому нужно что-то придумать, чтобы показать руководству. А то их уволят.
	Ответить | Правка | Наверх | Cообщить модератору

	110. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+1 +/–
	Сообщение от Аноним (113), 04-Дек-24, 20:00
	Вы уж определитесь, экспертом в какой области являетесь: в финансовой или в технической. А то действительно смешно.
	Ответить | Правка | Наверх | Cообщить модератору

	111. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	–1 +/–
	Сообщение от Ананимус (?), 04-Дек-24, 20:00
	Ага, ваще все. Ни одного стороннего компонента не осталось, даже линукс свой написали, черти. Ох лол.
	Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

	112. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	–2 +/–
	Сообщение от Аноним (-), 04-Дек-24, 20:04
	> Вы заблуждаетесь. Крупные проекты (не стартапы) пишут всё с нуля. Фейсбук, > ВК, Яндекс, Амазон... тысячи их! И кто из них написал с ноля ну хотя-бы операционку для своих серверов?
	Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

	120. Скрыто модератором	+/–
	Сообщение от anonymous (??), 04-Дек-24, 20:50
	дело пишешь, у японцев своё чучхе было даже еще раньше северокорейцев - там в основе идея что качественным может быть только то что сам полностью контролируешь. Ну и еще что нельзя врать самому себе, разбираться в чём недостаток и его устранять. А у нас под одобрямсы все шильдикостроение и "ахаха из стиралок выковыриваем ахахах да да из стиралок ой ржака" и в итоге 0 промышленности газ в обмен на бусы и все довольны.
	Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

108. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
Сообщение от RANDOMIZE USR 15616 (?), 04-Дек-24, 19:42
Вот так мифы о "независимости" и "неподконтрольности" криптовалют разбиваются о вопрос: "А кто, собственно, правит их исходники?"
Ответить | Правка | Наверх | Cообщить модератору

118. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."	+/–
Сообщение от Аноним (-), 04-Дек-24, 20:39
> Solana занимает пятое место по размеру капитализации > которые распространялись через NPM во вторник 3 декабря c 18:20 по 23:25 > версий web3.js 1.95.6 и 1.95.7 Меня одного это смущает что-ли? 5ая по размеру _виртуальная экономика_ за 5 часов пару раз апнулась..
Ответить | Правка | Наверх | Cообщить модератору

	119. Скрыто модератором	+/–
	Сообщение от Аноним (-), 04-Дек-24, 20:40
	ааа.. там 1.95.х.. тогда понятно.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема