资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
核心要点
近期发生的NPM库攻击事件中,攻击者将窃取加密货币的恶意软件植入核心NPM库。这些恶意程序会静默拦截网页和钱包活动,通过高级字符串相似度算法巧妙替换或劫持受害者的加密地址。Ledger首席技术官Charles Guillemet警告称,加密货币用户正处于高度风险之中。
NPM攻击事件始末
这场加密货币领域的安全危机,源于一封钓鱼邮件攻陷了知名开发者的NPM账户。攻击者在一夜之间将多个热门JavaScript库变成了隐秘的加密货币窃取工具。
NPM工具包是互联网基础设施的核心组件,年下载量达数十亿次。无论是开发钱包应用、加密资产追踪器,还是构建前端界面,这些库文件很可能存在于软件架构中。对于通过DeFi平台、交易所甚至硬件钱包集成使用这些库的数百万人而言,此次漏洞影响范围堪称无孔不入。
攻击手法解析
事件过程宛如经典重演:一位知名NPM维护者成为定向钓鱼攻击的受害者。黑客通过伪造的NPM技术支持邮件骗取开发者双重验证信息,随后利用凭证推送多个流行软件包的恶意版本。这些更新包表面功能正常,实则暗藏实时读取、改写和重定向加密交易的恶意代码。
技术细节揭秘
恶意代码会监控浏览器请求、钱包应用调用及API通信等各类钱包活动,动态替换交易目标地址。正如Guillemet在公开警告中所言:"恶意载荷通过实时替换加密地址来窃取资金。"用户原以为发送至可信地址的代币,可能正流向攻击者钱包——整个过程没有警示标志,更无挽回余地。
更令人担忧的是,攻击者采用高级字符串匹配算法使恶意地址与真实地址高度相似,轻易骗过肉眼检查。这一发现引发交易者恐慌,专家纷纷呼吁提高警惕。
Ledger首席技术官为何拉响警报
Ledger介入此事不仅因其硬件钱包行业地位,更因CTO Charles Guillemet认为这是链上交易的重大威胁。硬件钱包通过独立显示和验证交易细节的特性,构筑了最后防线——即使电脑感染恶意脚本,外部代码也无法篡改Ledger设备显示的交易信息。
对软件钱包用户而言风险更高:NPM攻击注入的恶意程序可劫持界面、替换地址甚至篡改应用显示内容,使得交易安全性难以保障。Guillemet建议在安全补丁发布前暂停交易,静待风暴平息。
加密货币为何如此脆弱
这并非加密领域首次因数字基础设施暴露漏洞。2021年SushiSwap的MISO平台因供应链代码问题遭窃300万美元;2023年3CX黑客事件同样利用供应链手段跨行业攻击加密公司;政府机构亦曾付出惨痛代价认识到:供应链攻击既是代码问题,更是信任危机,而在加密领域,信任往往转瞬即逝。
尽管安全团队正在清除受感染的NPM包,但现实已然清晰:任何开源依赖都可能成为特洛伊木马。
