loading...
9月8日,账本(Ledger)首席技术官查尔斯·吉耶梅在X平台发布警报,指出一场针对JavaScript生态系统的活跃供应链攻击正在发生。攻击者通过伪造域名获取某知名开发者账户权限,将恶意代码推送至多个下载量超过10亿次的NPM包中,意图在用户交易时悄悄替换加密钱包地址,导致资金被转至攻击者账户。
据后续披露,攻击者利用钓鱼邮件获取凭证,通过虚假域名完成身份冒用。恶意代码设计为拦截网页响应并修改目标地址,但因实施缺陷导致持续集成流程崩溃,提前触发警报,有效限制了攻击范围。这一失误成为此次事件未造成大规模损失的核心原因。
区块链分析显示,此次攻击实际窃取金额仅为503.59美元。研究员@4484将相关钱包归类为“NPM攻击”关联资产,而匿名创始人0xngmi指出,虽然代码具备篡改能力,但用户仍需手动确认交易,因此资金无法自动流失,形成天然防线。
包括Marinade、SolFlare、Step Finance、Jupiter、Drift和Phantom在内的多个项目迅速回应,确认其系统未受影响。然而,该事件凸显软件供应链安全在去中心化应用中的极端重要性。即使攻击未成功,其潜在威胁足以波及以太坊、Solana等主流链的用户。
安全联盟(SEAL Org)评价称,此次结果属“幸运的”。若攻击者能更精准执行,潜在财务损失可能呈指数级增长。这提醒所有参与者:在比特币波动加剧的背景下,技术漏洞可能被放大为系统性风险。
尽管本次事件以极小损失收场,但它再次敲响警钟。随着跨链钱包使用率上升,依赖开源组件的开发模式必须引入更强的验证机制。建议采用多重签名发布、自动化依赖扫描、以及更严格的访问控制策略,以应对日益复杂的攻击手段。
对于普通用户而言,坚持在硬件钱包中确认每一笔交易,仍是抵御此类攻击最有效的手段。在市场趋势不断演进的今天,技术安全已不再只是开发者责任,而是整个加密生态的共同命题。
195
161
910
886
430
216
334
444
178
764
