133
尽管针对加密货币JavaScript依赖项的大规模黑客攻击本可能造成严重破坏,但此次攻击最终失败。总计仅有500美元被盗。
针对JavaScript加密依赖项的黑客攻击失败
周一晚上,我们警告了一个可能造成严重破坏的漏洞,因为大规模利用该漏洞可能会危及许多加密货币钱包。简而言之,该攻击针对的是JavaScript软件包管理器NPM上某位开发者的账户。
由于该开发者拥有大量追随者,据称已发生超过10亿次恶意程序下载,理论上攻击者可通过伪造应用程序中的地址来挪用资金。
尽管如此,这起事件更多是虚惊一场,因为Arkham的数据表明,实际被盗金额仅为500美元:
Ledger 技术总监 Charles Guillemet 在 X 上解释说,攻击者的错误使该操作得以迅速被发现。但他警告说,此类威胁不容小觑:
尽管如此,这还是一个明显的提醒: 如果您的资金存储在软件钱包或交易平台上,只需执行一次代码,您就可能面临全额损失。供应链漏洞仍然是传播恶意软件的强大载体,同时我们也看到更具针对性的攻击正在兴起。硬件钱包的设计旨在抵御此类威胁。清晰签名等功能可让您准确确认交易情况,交易验证功能则能在为时已晚之前发出可疑活动警报。虽然眼前的危险可能已经过去,但威胁依然存在。
另一方面,包括 MetaMask 和 OKX Wallet 在内的多家钱包开发商均表示,其应用程序仍然安全可靠。
