自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

以太坊与Solana遭袭:几乎波及所有人的加密威胁

2025-09-10 17:04:14
收藏

加密货币行业本周遭遇严重安全威胁。Ledger首席技术官Charles Guillemet披露,有攻击者通过被污染的NPM软件包对JavaScript生态系统发起大规模供应链攻击。这些受污染软件包的累计下载量已超过十亿次,引发整个行业的高度警惕。


攻击原理

恶意代码会实时篡改加密货币钱包地址。这意味着用户在不知情的情况下,可能将资金转入错误的钱包账户。Guillemet指出,硬件钱包用户由于能在签署前查看并验证最终交易内容,因此未受影响。但依赖软件钱包或交易所的用户则面临较高风险。


攻击过程

此次攻击始于开发者收到的钓鱼邮件。伪装成npm官方支持的虚假邮件诱骗受害者交出凭证,使攻击者得以向主流软件包推送恶意更新。

植入的恶意代码可监控包括以太坊和Solana在内的多链加密活动,通过篡改网络响应中的钱包地址实施交易劫持。

所幸攻击者操作失误:恶意更新导致CI/CD管道崩溃,使得攻击行为被提前发现。最终这场波及面极广的攻击几乎未造成实际损失,但充分暴露了软件供应链的脆弱性。


安全启示

该事件表明供应链攻击的破坏力可能超乎想象——即使单个开发者账户被入侵,也可能危及数百万用户。对加密货币持有者而言,这再次印证了热钱包和交易所存储的资金始终存在安全隐患。

正如Guillemet所强调:"如果你的资产存放在软件钱包或交易所,一次代码执行就可能导致全部损失。"


防护建议

  • 优先使用硬件钱包:即使电脑被入侵,硬件钱包也能保障私钥安全
  • 签署前核对交易详情:包括钱包地址、金额及所属网络
  • 警惕钓鱼邮件:绝大多数攻击始于社会工程学手段
  • 启用清晰签名功能:在设备屏幕直接显示交易内容
  • 保持安全更新:及时关注钱包厂商及安全研究机构公告

虽然本次攻击威胁已暂时解除,但供应链攻击作为最有效的恶意软件传播方式仍在持续进化,攻击者的手段也日趋复杂化。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
更多新闻