loading...
Ledger首席技术官查尔斯·吉列梅近日发出紧急预警,指出开源开发者qix的NPM账户遭黑客入侵,可能导致针对加密软件钱包的重大供应链攻击。此次事件或引发广泛的资金安全风险,尤其对依赖开源组件的软件钱包构成直接威胁。
Guillemet在社交媒体平台X上表示,攻击者通过入侵qix的NPM账户,上传了包含恶意代码的软件包。这些包被广泛集成于多个开发项目中,一旦用户安装,恶意负载将自动扫描本地环境中的加密钱包,并篡改交易签名逻辑。当检测到资金时,系统会悄悄将收款地址替换为黑客控制的地址,实现资金转移而用户难以察觉。
据初步统计,相关恶意软件包的下载量已超过10亿次,覆盖大量JavaScript生态应用。该攻击模式属于典型的“供应链攻击”,即通过破坏可信第三方服务间接渗透目标系统,具有极强隐蔽性和扩散能力。
Guillemet强调,使用软件钱包的用户面临极高风险,而硬件钱包因具备独立签名机制,相对更安全。他建议所有软件钱包用户立即暂停链上交易,直到确认系统无异常;硬件钱包用户也应在签名前仔细核对交易细节。
DefiLlama开发者Oxngmi补充称,攻击影响仅限于自被黑包发布以来推送更新的网站。他呼吁用户在事件彻底清理前避免访问任何加密相关服务,以降低被感染概率。
MetaMask、Uniswap、Aave和Jupiter等主流协议均声明其核心系统未受波及,且已完成安全审计。然而,瑞士加密交易所SwissBorg却未能幸免,其SOL Earn计划所依赖的合作伙伴API遭到入侵,导致约19.3万枚SOL(价值约4150万美元)被盗。受影响用户比例不足1%,目前平台正在配合调查并启动赔偿流程。
此次事件再次凸显开源生态在加密领域的脆弱性。随着更多项目依赖自动化包管理工具,供应链安全已成为行业亟待解决的关键问题。专家指出,未来或将推动更严格的代码审查机制和去中心化验证流程,以防范类似攻击。
在当前市场趋势下,此类安全事件可能加剧投资者对数字资产存储方案的信任波动,进而影响整体市场情绪与比特币波动节奏。同时,也促使监管机构加强对开源基础设施的合规关注,推动形成更透明的软件供应链治理体系。
154
574
368
844
433
295
347
138
457
698
