NPM攻击未遂事件警示:企业高管称加密货币安全危机一触即发

芝麻开门

芝麻开门(Gateio)

注册芝麻开门享最高$2,800好礼。

币安

币安(Binance)

币安是世界领先的数字货币交易平台,注册领100U。

NPM攻击仅窃取50美元加密货币,但暴露交易所和软件钱包安全漏洞。黑客通过钓鱼邮件获取凭证,向热门库推送恶意更新,劫持多个区块链交易。专家建议使用硬件钱包并警惕供应链攻击,开发者需检查依赖库版本并尽快清除恶意软件。

近期一次针对节点包管理器(NPM)的攻击仅造成约50美元的加密货币损失,但行业专家警告称,该事件暴露出交易所和软件钱包仍普遍存在安全风险。

硬件钱包公司 Ledger 的首席技术官 Charles Guillemet 周二在社交平台 X 上发文表示,这次未遂攻击是一个“明确信号”,提醒用户软件钱包与交易所仍面临严重安全隐患。

“如果你的资产存放在软件钱包或交易所中,只需一次恶意代码执行,就可能失去所有资金。”他补充说,供应链攻击仍然是恶意软件传播的主要渠道之一。

Guillemet 建议用户转向使用硬件钱包,并强调清晰签名机制和交易验证功能可有效抵御此类威胁。“当前风险或许暂时缓解,但威胁远未结束。”他呼吁用户始终保持警惕。

NPM攻击事件:仅损失50美元却暴露重大漏洞

攻击者通过伪造 NPM 官方域名发送钓鱼邮件,成功获取开发者账户凭证。

在获得权限后,黑客向多个热门开源库推送了恶意更新,涉及 chalk、debug、strip-ansi 等多个常用工具包。

被植入的恶意代码试图拦截比特币(BTC)、以太坊(ETH)、索拉纳(SOL)、波场(TRON)和莱特币(LTC)等多个区块链上的交易,通过篡改网络响应中的钱包地址实现资产劫持。

TON首席技术官详解NPM攻击机制与应对

开放网络(TON)首席技术官 Anatoly Makosov 指出,本次攻击仅影响18个特定版本的软件包,相关团队已发布安全回退补丁。

Makosov 解析称,受感染的软件包本质上充当了“加密货币剪贴板木马”。在使用受影响版本的项目中,这些代码会在用户无感知的情况下伪造接收地址。

这意味着,与上述区块链交互的Web应用可能面临交易被拦截和资金转移的风险。

他特别提到,在恶意更新发布后数小时内进行构建的开发者,以及未锁定安全版本、依赖自动更新的应用程序,面临的风险最高。

Makosov 提供了一份开发者自查指南,关键排查点包括是否使用了 ansi-styles、chalk 或 debug 等18个热门库的特定版本。如项目依赖这些版本,则极有可能已受到侵害。

解决方案包括回退至安全版本、彻底清除恶意代码并重新构建应用。目前修复版本已发布,Makosov 强烈建议开发者尽快完成清理,以避免最终用户遭受损失。

声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/39689.html

CHAINTT的头像CHAINTT
上一篇 2025年9月10日 下午4:12
下一篇 2025年9月10日 下午4:12

相关推荐

  • Crypto Pulse——11月14日最新市场动态与热门区块链项目深度解析

    比特币突破93,000美元创历史新高,市值1.84万亿美元跃居全球资产第七。美国CPI数据利好降息预期,市场情绪极度贪婪(指数84)。Meme板块爆发,PEPE、DOGE分别大涨47%和280%;比特币现货ETF单日净流入5.14亿美元。加密AI项目0G Labs获2.9亿美元融资,美国参议院新多数党领袖支持加密立法。

    2025年7月12日
    14200
  • 空区块现象解析:威胁还是区块链发展的必然趋势?

    比特币空区块现象解析 比特币网络中偶尔会出现仅含coinbase交易的空区块,这是矿工为快速锁定3.125 BTC区块奖励而采取的策略。空区块虽放弃交易手续费收入,但能确保矿工稳定收益,同时通过工作量证明增强网络安全。其产生源于矿池在新区块确认后立即提供空白模板的机制,使矿工在交易数据未完全传播时仍可挖矿。 空区块会降低交易处理效率,但可通过Compact Block协议等技术方案优化。这种现象本质是矿工在收益与效率间的平衡选择,属于比特币网络运行中的正常情况。

    2025年7月13日
    14800
  • TON 实现 Mass Adoption 还需多久?与微信的全面对比分析

    1. 现在是将 Mass Adoption 置于首要显性建设的时刻 Mass Adoption(大规模普及)是Web3的核心挑战,但市场常聚焦短期财富效应。BTC ETF通过后,加密用户增速放缓,2024年仅增长3000万,远低于上轮牛市的10倍增长。实现Mass Adoption需简化用户体验、构建基础设施并解决合规问题。 2. Web3 实现 Mass Adoption 的障碍 实现Mass Adoption需满足PMF、目标市场规模、低用户门槛、成熟基础设施、精准获客及可持续商业模式。TON生态依托Telegram的10亿用户,通过社交裂变和低门槛钱包(如Catizen链上转化率10%)展现优势,但面临单一依赖Telegram、DeFi不足及商业化服务不完善等挑战。 3. TON 生态在实现 Mass Adoption 上的优势和挑战 TON生态优势包括Telegram的10亿用户社交裂变、小程序框架吸引开发者及低门槛MPC钱包。挑战在于单一依赖Telegram、DeFi赛道薄弱及商业化服务不足。MiniTon等项目尝试通过竞技变现模式优化商业模式。 4. TON 生态可从微信汲取多少成功与失败经验 微信小程序的成功源于轻量化触达、社交裂变获客及成熟商业化服务。Telegram可借鉴其路径,但需解决用户付费能力弱、精准投放不足及支付渗透率低(仅5%)等问题。关键在于提升开发者支持、快速调整策略并鼓励优质内容。

    2025年9月20日
    11700
  • DeFAI如何将人工智能与去中心化金融结合打造未来金融新生态

    DeFAI(去中心化金融+人工智能)通过AI技术简化DeFi复杂操作,降低用户门槛。其核心包含抽象层(自然语言交互)、代理层(AI自主交易)和应用层(智能DApp),代表项目如GRIFFAIN、Almanak和Arma等。DeFAI将重塑DeFi体验,使链上交互更智能高效,推动行业迈向”DeFAI Summer”。

    币圈百科 2025年9月16日
    14700
  • 以太坊升级后矿工的未来出路与转型方向

    以太坊合并对矿工的影响及转型选择 2022年9月15日,以太坊完成合并升级,从工作量证明(PoW)转向权益证明(PoS),能源消耗降低99%以上。这一转变使矿工面临失业,190亿美元的挖矿产业面临终结。矿工可选择改挖其他PoW加密货币、接入高性能计算中心、为Web3协议提供算力或质押ETH运营验证节点。以太坊合并加速了挖矿产业的转型,矿工需寻找具有长期价值的项目以确保收益。

    2025年7月23日
    14400

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

风险提示:防范以"数字货币""区块链"名义进行非法集资的风险