loading...
硬件钱包领军企业 Ledger 近日披露一起重大供应链安全事件,引发加密行业对数字资产防护机制的深度反思。
据 Ledger 首席技术官 Charles Guillemet 透露,本次攻击始于一封伪装成 npm 官方支持域名的钓鱼邮件。该邮件成功窃取了开发团队成员的登录凭证,进而获得向官方包管理器发布更新的权限。
攻击者利用合法发布权限,向开源库注入恶意代码。这些代码专门针对以太坊、Solana 等主流区块链,具备劫持用户交易的能力——包括篡改接收地址、修改转账金额,并在响应中返回伪造信息,诱导用户签署错误交易。
由于攻击者在部署过程中出现配置错误,持续集成/持续交付(CI/CD)管道发生崩溃,导致异常行为被迅速检测。这一意外也为及时止损创造了条件,避免了更大范围的扩散。
尽管攻击未能成功实施,但其潜在危害不可忽视。相比软件钱包和中心化交易所,硬件钱包通过“清晰签名”功能实现人类可读的交易预览,让用户直观确认交易细节;同时,“交易检查”机制可在异常行为发生前发出警报,有效防范人为误操作或恶意篡改。
此次事件再次印证,供应链入侵已成为恶意软件传播的主要路径之一。随着开发者生态日益复杂,任何一个环节的失守都可能波及整个系统。对于持有大量数字资产的用户而言,选择具备物理隔离能力的硬件钱包,仍是降低风险的核心策略。
当前市场对安全性的关注度持续上升,相关讨论热度显著攀升。投资者需警惕任何未经验证的更新来源,强化身份认证措施,确保资产存储环境的安全性。
生成的图像:Midjourney
281
693
302
964
695
536
866
866
492
