资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
加密货币生态遭遇大规模供应链攻击
本周加密货币生态系统面临重大安全威胁,18个流行NPM JavaScript软件包在大规模供应链攻击中遭到入侵。该事件始于2025年9月8日,虽然可能危及数十亿美元资产,但由于快速检测而将损失控制在较低水平。
攻击始末
攻击始于冒充NPM官方支持的钓鱼邮件,目标是一位名为"Qix-"的知名开发者。攻击者通过劫持其账户获得了发布恶意更新至广泛使用JavaScript库的权限。
包括"chalk"、"debug"等基础JavaScript库在内的18个软件包被植入恶意代码,这些组件每周下载量合计超过20亿次,使此次攻击成为近年来影响范围最大的供应链攻击之一。
加密剪贴板劫持器运作原理
安全研究人员发现,恶意代码作为"加密剪贴板劫持器"运作。这种恶意软件会静默监控加密货币钱包地址,并将其替换为攻击者控制的地址。
植入后,恶意程序使用Levenshtein距离算法生成相似地址。当用户复制钱包地址进行交易时,程序会自动替换为攻击者地址。该攻击针对以太坊、比特币、Solana等多个区块链网络。
有限的经济损失
尽管攻击规模巨大,但经济损失出人意料地小。据现有数据,攻击者仅窃取了约497美元加密货币。快速检测和硬件钱包保护是限制损失的关键因素。
安全机构在恶意软件更新后约一小时就披露了事件并向社区发出警告,大大缩短了风险暴露窗口期。
硬件钱包的保护作用
使用Ledger或Trezor等硬件钱包的用户受到保护,因为这些设备需要物理确认交易细节。当用户在硬件钱包上验证收款地址时,可以识别任何地址替换尝试。
主要协议和钱包迅速做出回应。Uniswap、SUI、Jupiter等平台均发表声明表示正在采取措施保护用户,MetaMask确认用户"无需恐慌"。
事件启示
本次事件凸显了开源供应链脆弱性及其与Web3金融安全的关联。对开发者而言,它强调了依赖项管理和软件包审查的重要性;对加密用户而言,则印证了硬件钱包和交易验证的价值。
随着加密货币生态系统持续发展,用户和开发者都需要对日益复杂的软件供应链攻击保持警惕。
