资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
一场针对JavaScript工具的大规模攻击波及加密平台数百万用户
黑客对JavaScript生态系统的全面供应链攻击震动了加密行业,暴露出其基础设施中脆弱的依赖关系。2025年9月8日,Ledger首席技术官Charles Guillemet证实,攻击者入侵了一位知名开发者的NPM(Node包管理器)账户。被入侵的账户使得黑客能够向高频使用的JavaScript包中植入"加密货币剪切器"恶意软件。
波及十亿次下载量的核心库
受感染的库包括chalk、debug、strip-ansi和color-convert等,这些库累计下载量超过十亿次,暴露出巨大的风险规模。据Guillemet透露,恶意代码会在交易过程中静默替换加密货币钱包地址,将资金转入攻击者控制的账户。这意味着毫无戒心的用户可能在不知情的情况下完成看似合法的交易,实则资产已遭窃取。
这些被攻击的工具绝非冷门。像Chalk和Debug这样的库支撑着无数去中心化应用和加密平台,与整个生态系统的日常运行息息相关。这些库的失守表明,单个漏洞可能迅速影响数百万钱包和应用。
Ledger首席技术官发出紧急警告
Guillemet没有透露具体哪位开发者的账户遭到入侵,但他明确指出威胁范围广泛。"这是一次大规模的供应链攻击,整个JavaScript生态系统都可能受到影响,"他在官方警告中写道。
他强调使用配备安全屏幕并支持清晰签名功能的硬件钱包至关重要:"唯一可靠的应对方法是使用支持清晰签名的、带有安全屏幕的硬件钱包。这能让用户准确查看资金发送的地址,并确保与目标地址一致。"
他补充道:"没有安全屏幕的硬件钱包,以及任何不支持清晰签名的钱包都存在高风险,因为无法准确验证交易细节是否正确。"
最后他发出广泛提醒:"这是个提醒所有人的好时机:始终验证你的交易,切勿盲目签名,使用带有安全屏幕的硬件钱包,并对所有交易进行清晰签名。"
开发者响应与更广泛影响
事件披露后,开发者被要求锁定依赖项的安全版本、加固锁文件,并在进一步通知前停止自动更新软件包。这些预防措施旨在控制损害范围,同时整个生态系统都在进行审计和清理工作。加密开发者社区的知名人士也建议用户在漏洞修复前避免与加密网站交互。
该事件表明,即使是Ledger这样的核心钱包提供商,也依赖于其无法直接控制的软件层。如果这些软件层被攻破,产生的后果可能是毁灭性的。数百万用户和数十亿数字资产可能在数小时内面临风险。
理论上,这起事件可能会引发关于钱包安全标准和开发实践的争议。当下迫切需要建立基于框架的可验证开源要求、极其严格的依赖审计,以及密码学透明的代码交付机制。该事件给去中心化开发提出了一系列难题。开源平台加速了创新,但若没有严格防护,同样可能成为突破口。
在清理工作推进期间,Guillemet警告用户如非必要应暂停所有链上活动。他呼吁社区将此次入侵视为一个严厉的提醒:加密货币安全不仅涉及钱包层面,同样关乎更广泛的软件供应链。
