loading...
Ledger首席技术官查尔斯·吉列梅周一在X平台发出紧急警告,指出一个被广泛使用的JavaScript包管理器NPM中发现严重供应链漏洞,可能导致大量加密货币用户面临资金被盗风险。该漏洞源于一个被攻陷的开发者账户,恶意代码已通过多个流行软件包传播。
据区块链安全公司Blockaid披露,受影响的软件包包括“color-name”和“color-string”等基础工具,这些是无数前端项目的核心依赖。一旦集成,恶意载荷可在用户发起交易时悄然替换目标地址,将资金转至攻击者钱包,而用户需手动确认交易,这为识别异常提供了窗口期。
相关恶意代码已被下载超过10亿次,影响范围覆盖几乎所有主流区块链生态。虽NPM已禁用受感染包并移除恶意补丁,但开发人员仍应检查项目依赖项,防止已有缓存版本造成二次风险。有安全专家建议,当前应暂停签署任何加密交易以规避风险。
Loopscale联合创始人玛丽·古纳拉特尼指出,此次事件凸显了加密行业对Web2开源生态的深度依赖。即便仅存在数小时,此类漏洞也足以引发大规模危害。她强调,必须加强代码审计机制,并推动自动升级防护策略,确保系统安全性。
涉事账户“qix”所有者在GitHub上表示已遭双因素验证邮件劫持,账户被盗。其已联系NPM团队协助处理,目前恶意包已在多数站点下架。解密尚未获得NPM正式回复,但多方正持续跟进事件进展。
此事件再次印证了区块链分析的重要性,也警示整个行业需建立更严格的网络安全事件响应机制。随着市场趋势向去中心化应用深化,保障供应链漏洞的安全已成为不可忽视的核心议题。
154
574
368
844
433
295
347
138
457
698
