Edgen Crypto·Sep 09 2025, 09:58
一次針對加密用戶的大規模 NPM 供應鏈攻擊基本未成功,在檢測和遏制之前僅造成極小的財務損失。
執行摘要
一次透過Node Package Manager (NPM)進行的大規模供應鏈攻擊針對加密貨幣用戶,但被迅速遏制。根據Ledger 的 CTO,在緩解之前,此次攻擊造成了約 503 美元的損失。包括 Uniswap 和 Aave 在內的多個加密平台報告未受影響。
事件詳情
此次攻擊損害了一位知名開發者的 NPM 帳戶,將惡意代碼注入到廣泛使用的軟體包中,例如 chalk、strip-ansi 和 color-convert。這些軟體包每週的下載量超過十億次。惡意代碼攔截網路請求,將加密貨幣地址替換為攻擊者控制的地址,主要針對軟體錢包和基於瀏覽器的加密應用程序,如 MetaMask。
惡意代碼活躍了約兩個小時,NPM 安全團隊隨後介入。受損軟體包包含旨在操縱錢包交互並將付款重定向到攻擊者控制帳戶的代碼。
市場影響
儘管此次攻擊的財務影響微乎其微,但該事件突顯了 Web3 生態系統中普遍存在的安全漏洞。此次事件可能導致對軟體供應鏈的審查增加,並更加重視加密貨幣行業的安全措施。此次攻擊凸顯了受信任的開發依賴項成為金融惡意軟體分發載體的風險。
專家評論
「惡意負載透過即時悄悄交換加密地址來竊取資金。如果您使用硬體錢包,請在簽名前注意每筆交易,這樣您就是安全的。如果您不使用硬體錢包,請暫時不要進行任何鏈上交易。」
安全專家建議開發人員和組織實施強大的供應鏈安全措施,包括定期依賴項審計、使用套件鎖定文件以確保一致的依賴項版本,以及驗證套件發布者。
更廣泛的背景
此次攻擊提醒了 Web3 空間固有的風險,特別是對於軟體錢包和基於瀏覽器的應用程序的用戶而言。Ledger 和 Trezor 等硬體錢包由於其安全的驗證過程而仍然更安全。此次事件還可能鼓勵採用多簽名錢包,例如 Safe,它需要多次批准才能進行交易,從而增強了安全性。
對於交易者而言,私鑰丟失和被駭客攻擊的擔憂非常突出。正如 @GoChapaa 所指出的,這些擔憂凸顯了核心執行和託管風險,鼓勵採用硬體錢包和多簽名解決方案以減輕潛在損失。
