SEAL揭露:加密货币史上最大NPM攻击事件,实际损失低于50美元

芝麻开门

芝麻开门(Gateio)

注册芝麻开门享最高$2,800好礼。

币安

币安(Binance)

币安是世界领先的数字货币交易平台,注册领100U。

黑客通过攻陷NPM开发者账户,向下载超10亿次的JavaScript库植入恶意软件,针对ETH和SOL钱包进行供应链攻击。目前仅窃取价值约50美元的加密货币,未充分利用其广泛访问权限。恶意软件传播虽广但已被中和,用户需谨慎确认交易并避免访问相关网站。

区块链安全研究人员近日披露,一场针对JavaScript软件库的大规模供应链攻击中,黑客仅成功窃取了价值约50美元的加密货币。

根据Security Alliance于本周一发布的调查报告,黑客入侵了一位知名开发者的NPM(Node Package Manager)账户,并向一个已被累计下载超过10亿次的热门JavaScript库植入了恶意代码,导致大量加密项目面临潜在威胁。该攻击主要针对以太坊(ETH)和索拉纳(SOL)钱包用户。

Security Alliance指出,截至目前,黑客实际盗取的加密货币金额不足50美元,并已确认以太坊地址“0xFc4a48”为当前唯一已知的恶意钱包。该机构在X平台进一步补充道:

“想象一下:你成功入侵了一位NPM开发者账户,其软件包每周下载量超20亿次。你可以访问数百万开发者的设备,触手可及的是无数数字资产。然而最终,你只获利不到50美元。”

JavaScript供应链攻击影响示意图
图片来源:Security Alliance

化名为SEAL的安全研究员Samczsun在接受Cointelegraph采访时表示:“黑客并未充分利用其获取的高级访问权限。这就像拿到了Fort Knox金库的门禁卡,却只把它当成书签使用。尽管恶意软件传播范围广泛,但目前已被基本控制。”

不过值得注意的是,被盗金额在几小时前还仅为5美分,这表明攻击可能仍在持续演变中。

被盗资产包括ETH与多种迷因币

Security Alliance透露,最初失窃的资产包括5美分的以太币(ETH)以及约20美元的各种迷因币(memecoin)。

根据Etherscan数据,恶意地址已接收到包括Brett(BRETT)、Andy(ANDY)、Dork Lord(DORK)、Ethervista(VISTA)和Gondola(GONDOLA)在内的多种迷因币。

未直接使用NPM的加密项目仍可能受影响

本次攻击针对的是chalk、strip-ansi和color-convert等被广泛引用的基础工具库。这些软件包常作为底层依赖被嵌套在各种项目中,因此即使开发者未主动安装,仍可能面临风险。

NPM作为JavaScript开发者的核心资源库,是一个集中式的代码包管理平台,开发者常借助它共享和使用开源模块以构建应用。

攻击者据信植入的是一种称为“crypto-clipper”的恶意程序,该软件会在用户发起转账时偷偷替换目标钱包地址,从而实现资产转移。

Ledger首席技术官Charles Guillemet与多位行业专家一致呼吁,加密货币用户在进行链上交易时应始终保持警惕,仔细核对交易信息。

Ledger同时发布声明称,其硬件钱包产品未直接受到本次NPM事件影响。

加密项目创始人:用户不会立即遭受损失

DeFiLlama匿名创始人0xngmi表示,只有那些在恶意软件包发布后更新了依赖的项目才可能受到影响。并且,用户仍需主动授权恶意交易才可能导致资产损失。

他与Guillemet均建议,在相关开发团队彻底清除恶意包之前,用户应暂时避免访问可能受影响的加密网站,以降低风险。

声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/39305.html

CHAINTT的头像CHAINTT
上一篇 2025年9月9日 下午1:13
下一篇 2025年9月9日 下午1:13

相关推荐

  • 东方HashKey Chain对决西方Base:合规浪潮中的TradFi争夺战

    Coinbase与EY-Parthenon调查显示,83%机构计划2025年扩大加密货币配置,59%拟将5%以上资管规模投入Crypto。全球监管趋明推动链上金融爆发,美国Coinbase通过合规稳定币USDC布局L2 Base生态,香港HashKey则聚焦金融产品代币化,其主网HashKey Chain上线两月交易量突破834万笔。东西方双雄以不同路径加速传统金融与DeFi融合,2025年或成链上金融转折点。

    2025年11月16日
    13900
  • NFT市场火爆:CryptoPunks和Penguins价格飙升引发抢购热潮

    随着加密市场回暖,蓝筹NFT迎来大规模扫货潮。7月20日数据显示,CryptoPunks底价单日暴涨15.9%至47.5ETH(17.9万美元),Pudgy Penguins上涨超15%。NFT总市值24小时内跃升21.2%至63.4亿美元,单日销售额激增303%。此次反弹与2025年第一季度交易量暴跌61%形成鲜明对比,市场人士认为这可能标志着NFT市场在经历多年低迷后开始复苏。专家指出,行业需要新催化剂推动持续反弹,现实世界资产或成关键因素。

    2025年7月21日
    14100
  • Funtico (TICO) 是什么?全面解析这个区块链项目

    摘要 Funtico是基于Avalanche的Web3游戏平台,其原生代币$TICO(总量100亿枚)驱动生态系统内交易、NFT买卖及玩家奖励。平台整合Funtico 360 Studio开发者工具、AI助手BrainyAI和安全系统ShieldGuard,提供去中心化游戏体验与资产所有权。采用冷钱包存储和子网架构保障安全,通过30个月代币解锁计划维持经济平衡。已获Avalanche等机构投资,2025年将推出PaaS服务及多人锦标赛功能。

    2025年8月15日
    11700
  • WAGMI游戏是什么 探索区块链游戏新趋势

    WAGMI Games是一家跨媒体娱乐游戏公司,致力于通过沉浸式叙事和Web3技术弥合传统游戏与区块链游戏的鸿沟。其首款游戏《WAGMI Defense》采用”边玩边赚”模式,通过Immutable-X技术实现低成本NFT交易,并支持法币支付降低入门门槛。公司提供创世NFT、漫画系列等数字藏品,ERC-20代币WAGMIGAMES用于游戏内交易和治理。通过与OpenSea等平台合作,WAGMI Games正构建连接Web2和Web3玩家的游戏生态系统。

    2025年8月6日
    16300
  • Ripple警告:XRP价格反弹后,YouTube诈骗活动激增

    Ripple首席执行官Brad Garlinghouse警告称,随着加密货币市场反弹,诈骗分子正通过冒充Ripple官方YouTube账户等手段加强攻击。2025年上半年加密货币诈骗损失已达21亿美元,创历史新高。XRP价格近期飙升后回落10%,比特币和以太坊也显著上涨。Ripple提醒用户警惕虚假赠送活动,并透露其2021年曾起诉YouTube解决类似问题。安全公司Scam Sniffer发现谷歌搜索结果顶部也出现针对加密货币公司的诈骗广告,采用Punycode攻击技术伪装真实网站。

    2025年7月24日
    15700

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

风险提示:防范以"数字货币""区块链"名义进行非法集资的风险