X
币圈子(120btc.cOM):Ledger技术长Charles Guillemet昨(8)日发出的紧急警报让加密社群瞬间陷入恐慌,Guillemet在X上表示,黑客入侵了JavaScript生态系统的核心:NPM套件库,将恶意代码植入每周下载量逾20亿次的热门套件,锁定加密货币用户的资产。这场供应链攻击仅短短数行代码,即让整个Web3社群顿时笼罩在阴影之下,许多开发者和投资者担忧资金安全,纷纷暂停链上交易。
NPM攻击以失败告终
不过就在社群仍然深陷恐慌之际,Charles Guillemet于今(9)日稍晚透过X平台发布安全调查更新结果,指出幸运的是,这次攻击最终以失败告终,几乎没有受害者。
根据Guillemet的详细说明,攻击始于一封来自假冒npm支持域名的钓鱼邮件,窃取了开发者凭证,使攻击者能够发布恶意套件更新。注入的代码针对网络加密活动,侵入以太坊、Solana等区块链以劫持交易,并直接在网络回应中替换钱包地址,让用户不知不觉中将资金转移至黑客控制的帐户。
不过,攻击者的错误导致CI/CD管道崩溃,这使得攻击在早期就被发现,影响范围极为有限。不过Guillemet强调,这仍是一个明确的提醒:如果你的资金存放在软件钱包或交易所,你距离失去一切仅一步之遥。供应链攻击仍是强大的恶意软件传播途径,眼前的危险或许已经过去,但威胁依然存在。
资安问题不容忽视
所幸此次攻击以失败告终,但在加密货币领域,保护资产安全,也是每一个用户需要时刻做好的功课。对用户而言,为保护加密资产安全,许多专家都已建议使用硬件钱包,将私钥储存于离线环境;同时,每次进行链上交易前,务必要透过硬件钱包的透明签署功能,仔细核对交易细节(如金额、地址),避免盲签导致资金被转至黑客地址;此外,还可启用2FA验证,优先选择硬件金钥或认证应用,并将种子短语以纸本形式离线储存,切勿数位化保存。
一言以蔽之,保持警惕是关键:不点击来源不明的钓鱼邮件或链接,并追踪可信来源以获取安全警报,才可大大降低遭遇黑客攻击的可能。
