交易所
交易所排行榜
24小时成交排行榜
人气排行榜
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
ETF追踪
比特币持币公司
加密资产反转
账号安全
资讯收藏
自选币种
我的关注
受污染代码已潜入无数项目,数百万加密钱包和依赖这些组件的去中心化应用岌岌可危
与针对单一区块链或钱包的攻击不同,这些恶意更新如同通用寄生虫。它们会扫描比特币、以太坊、Solana、波场和莱特币等各类钱包地址数据流,悄无声息地将真实地址替换为攻击者控制的仿冒地址。其目标是在用户察觉前完成交易劫持。
漏洞发现过程
异常迹象最初源于开发者注意到与error-ex库1.3.3版本的奇怪更新有关的构建失败。该版本不仅包含混乱代码,还藏有名为checkethereumw的可疑函数。后经安全分析师证实,此函数专为窃取加密数据设计。color-convert、strip-ansi等其他常用库也相继被发现存在类似问题。
Ledger首席技术官Charles Guillemet公开发出警告,强调事件影响的广泛性。他表示,数十亿次下载量意味着这不是孤立事件,而是系统性威胁。他给出明确建议:依赖纯软件钱包的用户应暂停交易直至风险解除,硬件钱包用户则需仔细核对每笔交易签名。
更严峻的安全形势
此次事件发生在区块链行业面临多重安全冲击的背景下。此前有报道称路边矿池在另一起攻击中损失超12.7万枚比特币,这些事件共同揭示出攻击者策略的转变——从直接攻击协议转向入侵开发者最信赖的工具库。
虽然恐慌情绪在开发者社区蔓延,但并非所有项目都受到影响。Solana生态头部DEX聚合器Jupiter表示,经全面排查已确认未使用受感染版本,其网页端和移动端产品均保持安全状态。
该攻击最令人不寒而栗之处在于其简单性。仅需攻陷一个NPM账户,黑客便能将触角延伸至从普通网页应用到核心区块链基础设施的整个生态。当前唯一防御措施是保持警惕:审查依赖项、暂停非必要转账,并等待安全研究人员的最终评估。
