SEAL揭露:加密货币史上最大NPM攻击事件,实际损失低于50美元

芝麻开门

芝麻开门(Gateio)

注册芝麻开门享最高$2,800好礼。

币安

币安(Binance)

币安是世界领先的数字货币交易平台,注册领100U。

黑客通过攻陷NPM开发者账户,向下载超10亿次的JavaScript库植入恶意软件,针对ETH和SOL钱包进行供应链攻击。目前仅窃取价值约50美元的加密货币,未充分利用其广泛访问权限。恶意软件传播虽广但已被中和,用户需谨慎确认交易并避免访问相关网站。

区块链安全研究人员近日披露,一场针对JavaScript软件库的大规模供应链攻击中,黑客仅成功窃取了价值约50美元的加密货币。

根据Security Alliance于本周一发布的调查报告,黑客入侵了一位知名开发者的NPM(Node Package Manager)账户,并向一个已被累计下载超过10亿次的热门JavaScript库植入了恶意代码,导致大量加密项目面临潜在威胁。该攻击主要针对以太坊(ETH)和索拉纳(SOL)钱包用户。

Security Alliance指出,截至目前,黑客实际盗取的加密货币金额不足50美元,并已确认以太坊地址“0xFc4a48”为当前唯一已知的恶意钱包。该机构在X平台进一步补充道:

“想象一下:你成功入侵了一位NPM开发者账户,其软件包每周下载量超20亿次。你可以访问数百万开发者的设备,触手可及的是无数数字资产。然而最终,你只获利不到50美元。”

JavaScript供应链攻击影响示意图
图片来源:Security Alliance

化名为SEAL的安全研究员Samczsun在接受Cointelegraph采访时表示:“黑客并未充分利用其获取的高级访问权限。这就像拿到了Fort Knox金库的门禁卡,却只把它当成书签使用。尽管恶意软件传播范围广泛,但目前已被基本控制。”

不过值得注意的是,被盗金额在几小时前还仅为5美分,这表明攻击可能仍在持续演变中。

被盗资产包括ETH与多种迷因币

Security Alliance透露,最初失窃的资产包括5美分的以太币(ETH)以及约20美元的各种迷因币(memecoin)。

根据Etherscan数据,恶意地址已接收到包括Brett(BRETT)、Andy(ANDY)、Dork Lord(DORK)、Ethervista(VISTA)和Gondola(GONDOLA)在内的多种迷因币。

未直接使用NPM的加密项目仍可能受影响

本次攻击针对的是chalk、strip-ansi和color-convert等被广泛引用的基础工具库。这些软件包常作为底层依赖被嵌套在各种项目中,因此即使开发者未主动安装,仍可能面临风险。

NPM作为JavaScript开发者的核心资源库,是一个集中式的代码包管理平台,开发者常借助它共享和使用开源模块以构建应用。

攻击者据信植入的是一种称为“crypto-clipper”的恶意程序,该软件会在用户发起转账时偷偷替换目标钱包地址,从而实现资产转移。

Ledger首席技术官Charles Guillemet与多位行业专家一致呼吁,加密货币用户在进行链上交易时应始终保持警惕,仔细核对交易信息。

Ledger同时发布声明称,其硬件钱包产品未直接受到本次NPM事件影响。

加密项目创始人:用户不会立即遭受损失

DeFiLlama匿名创始人0xngmi表示,只有那些在恶意软件包发布后更新了依赖的项目才可能受到影响。并且,用户仍需主动授权恶意交易才可能导致资产损失。

他与Guillemet均建议,在相关开发团队彻底清除恶意包之前,用户应暂时避免访问可能受影响的加密网站,以降低风险。

声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/39305.html

CHAINTT的头像CHAINTT
上一篇 2025年9月9日 下午1:13
下一篇 2025年9月9日 下午1:13

相关推荐

  • AO计算机(AO)技术原理与应用场景深度解析

    AO (ao Computer) 是一个基于 Arweave 构建的创新去中心化计算网络,通过独特的并行进程架构和开放消息传递层,解决了传统去中心化计算系统的性能瓶颈。其核心优势包括:模块化设计支持多种虚拟机选择;信任最小化机制确保计算可验证性;以及类似比特币的公平代币经济模型。目前生态已处理超22亿条消息,运行41万+进程。尽管面临技术复杂性和市场竞争等挑战,AO在去中心化AI、Web3基础设施等领域展现出巨大潜力,有望推动下一代互联网计算范式的发展。

    2025年8月20日
    14700
  • 观点:RWA如何通过代币化ESG投资构建机构级信任新机制

    代币化现实世界资产(RWA)正成为机构投资可持续市场的重要区块链信任层,提供防篡改、流动性及部分所有权等优势。Blubird与Arx Veritas代币化320亿美元减排资产,创下ESG领域最大规模记录,并有望吸引数万亿气候资金进入链上。预计到2030年,代币化或成机构ESG投资核心支柱。

    资讯 2025年9月5日
    14900
  • 以太坊协议净化阶段详解:The Purge如何塑造区块链未来

    以太坊正通过”The Purge(净化)”计划应对区块链膨胀与复杂性增长的挑战,重点解决历史数据和协议功能积累问题。该计划核心目标包括:1. 通过历史记录到期(如EIP-4444引入1年存储期)和分布式存储网络降低节点存储压力;2. 探索状态到期方案(如部分状态过期或基于地址周期的设计)控制状态增长;3. 功能清理(如删除SELFDESTRUCT操作码、简化Gas机制等)降低协议复杂度。这些措施旨在平衡区块链持久性与可扩展性,同时保留去中心化特性,为以太坊长期可持续发展奠定基础。

    2025年11月5日
    11500
  • BTC生态发展迅猛 BounceBit崭露头角引领新趋势

    BTC生态风起云涌,BounceBit初露锋芒 随着BTC生态价值潜力被挖掘,BounceBit作为首个专注BTC重质押的公链崭露头角。其创新双PoS机制结合BTC与原生代币质押,通过CeFi托管保障资产安全,兼容EVM生态实现项目无缝迁移。核心的BTC Restake机制提供三重收益:CeFi托管收益、节点质押奖励及链上应用收益。目前TVL已达4.5亿美元,50个验证节点的双代币架构增强网络安全性,BounceBox则为开发者提供定制化Web3工具集,推动BTC生态发展。

    2025年10月9日
    13900
  • 10条DeFi与加密货币最新动态:区块链投资者必读指南

    本文聚焦加密领域10大关键动态:1.Avalanche推出L1升级Avalanche9000,大幅降低开发成本;2.NEAR布局AI赛道,推出多链智能体系统;3.Liquity V2上线,引入用户自定利率机制;4.Pendle推出杠杆收益协议Boros;5.Zircuit L2结合AI推出Gud AI产品;6.Starknet实现原生代币质押并优化ZK证明成本;7.Mode构建AI-Fi三层架构生态系统;8.Polkadot 2.0降低平行链成本推动生态增长;9.dYdX推出即时市场创建功能挑战CEX;10.Aptos TVL突破10亿美元吸引传统金融机构入驻。这些创新正在重塑DeFi和区块链基础设施格局。

    2025年12月3日
    12300

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

风险提示:防范以"数字货币""区块链"名义进行非法集资的风险