Dikkat! Kuzey Koreli hackerlar Waves cüzdan kod havuzuna sızdı, kullanıcıların özel anahtarlarını çalabilir.

19 Haziran'da Kuzey Koreli bir geliştiriciye Waves Protocol'ün Keeper-Wallet kod tabanına gelişmiş erişim izni verildi. Mayıs 2025'ten bu yana atıl durumdaki kod tabanına güncellemeler gönderen "AhegaoXXX" hesabı, Kuzey Koreli BT dış kaynak kuruluşlarıyla bağlantılı. Kod incelemesi, bir işlemenin cüzdan günlüklerini ve çalışma zamanı hatalarını harici bir veritabanına gönderme yeteneği eklediğini ve potansiyel olarak anımsatıcı ifadeyi ve özel anahtarı çaldığını buldu. Her ne kadar şube birleştirilmemiş olsa da saldırganlar, eski Waves mühendisi Maxim Smolyakov'un hesabının kontrolünü ele geçirerek uzun süredir güncellenmeyen altı kötü amaçlı NPM paketini serbest bırakmayı başardılar. Güvenlik raporuna göre olay, Kuzey Koreli bilgisayar korsanlarının sıradan dış kaynaklı sızmadan kod tabanının doğrudan kontrolüne geçtiğini gösteriyor. Geliştirme ekibinin, katılımcı izinlerini denetlemek, hareketsiz hesapları temizlemek ve depo yönlendirmelerini izlemek dahil olmak üzere tedarik zinciri korumalarını güçlendirmesi önerilir. Şu anda, etkilenen yazılımın indirilme sayısı düşüktür, ancak Keeper-Wallet'ı güncelleyen Waves kullanıcıları için kimlik bilgilerinin sızdırılma riski vardır.