loading...
Ledger 首席技术官 Charles Guillemet 近日发出警告,指出大规模供应链攻击可能对加密货币软件钱包构成严重威胁。 此警告是在知名开发者 qix 的 NPM 帐户遭到入侵后发布的。Guillemet 特别提醒用户避免进行链上交易,以降低潜在的资金损失风险。
Guillemet 在社交媒体平台 X 上表示,由于开源开发者 qix 的 NPM 帐户被攻破,一场针对加密软件钱包的重大供应链攻击正在进行中。他解释称,供应链攻击通过攻击提供必要服务或软件的第三方供应商间接影响目标系统。
据报告,此次被黑客入侵的 NPM 被用来传播恶意软件,这种恶意软件能够扫描并利用用户的加密钱包。当检测到加密货币时,该恶意软件会修改负责签署交易的代码,并将资金重定向至黑客控制的地址。Guillemet 表示:“恶意负载通过悄悄交换加密地址窃取用户资金。”
NPM 是 JavaScript 软件包的核心注册和库,广泛应用于开源平台,是 JavaScript 生态系统的重要组成部分。Guillemet 指出,与此次攻击相关的软件包下载量已超过 10 亿次。
他还强调,软件钱包用户面临的风险远高于硬件钱包用户。因此,他建议硬件钱包用户在签名前仔细检查每笔交易,而软件钱包用户则应暂时避免进行任何链上交易。
DefiLlama 开发者 Oxngmi 在 X 上补充道,供应链攻击的影响范围仅限于“自被黑的 NPM 包发布以来推送更新”的网站。他也认同 Guillemet 的观点,并建议用户“在事件平息并清理不良软件包之前,尽量避免使用加密相关网站”。
与此同时,部分顶级加密货币平台如 MetaMask、Uniswap、Aave 和 Jupiter 纷纷表示,他们的系统不会受到此次事件的影响。然而,总部位于瑞士的加密货币交易所 SwissBorg 却未能幸免,其 SOL Earn 计划中的合作伙伴 API 遭遇入侵,导致约 193,000 SOL(价值约 4150 万美元)被盗。受影响用户比例不到 1%。
322
928
558
199
781
423
593
