资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
加密货币世界正面临新一轮网络威胁,黑客持续将数字资产作为攻击目标。为了攫取巨额利益,网络犯罪分子不惜尝试各种手段。近日,一位以分发代码库闻名的知名开发者账号遭入侵。值得注意的是,硬件钱包用户(如Ledger钱包持有者)被建议暂停交易,直至进一步通知。
硬件钱包安全警报
加密货币投资者通常使用外部硬件钱包来规避中心化交易所风险并保持资产控制权。尽管这类设备被认为更安全,但针对Ledger等硬件钱包的攻击手段依然存在。Ledger应用技术总监Charles Guillenet近日发布重要警告:
"当前正在发生大规模供应链攻击:某知名开发者的NPM账户已遭入侵。受影响软件包的周下载量超过10亿次,这意味着整个JavaScript生态系统可能面临风险。"
"恶意负载会静默且即时修改加密地址以窃取资金。若您使用硬件钱包,请在签署每笔交易前仔细核验。若未使用硬件钱包,请暂时避免链上交易,目前尚不确定攻击者是否能从软件钱包提取助记词。"
漏洞发现细节
安全研究员Jdstaerk披露:
"每周下载量超4700万次的流行npm包error-ex已遭篡改。1.3.3版本包含能拦截网络请求和钱包交易的恶意代码,会将收款地址替换为攻击者地址——即所谓'加密剪切器'。"
加密货币用户防护指南
此次攻击主要影响JS代码库。简言之,就像某位被广泛引用的著名作家作品遭篡改,被入侵的NPM库意味着其开发的代码结构和组合产品可能被修改,使所有引用者执行攻击者预设的变更。
使用受影响NPM库开发DeFi平台或钱包界面的开发者,可能会遭遇包含有害代码块的篡改源码。攻击者通过操控主流代码库,可入侵原本安全的网站或钱包。
例如:在交易过程中自动修改收款钱包地址,或窃取助记词。通过控制这些被百万开发者信任的代码库,攻击者获得了对相关代码块的修改权限,使得各类网站可能遭遇未知攻击手段。现阶段建议暂停通过加密硬件钱包或智能合约进行的交易。
开发者应对方案
开发者应回退至error-ex的1.3.2稳定版本以避免新植入的恶意代码:
"在package.json文件中使用overrides功能。在构建管道中使用npm ci替代npm install。"——Jdstaerk
