资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
我的关注
以太坊核心开发者Zak.eth十年安全神话破灭:恶意扩展程序盗取钱包资产
以太坊核心开发者Zak.eth持续十年的完美安全记录,因一个恶意Cursor/VS Code扩展程序而终结。上周发生的这起事件涉及名为"contractshark.solidity-lang"的扩展程序。据Zak.eth在社交平台的详细说明,这个扩展看似完全合法:拥有超过5.4万次下载量、专业的描述文本,并且出现在Cursor的默认注册表中。然而安装后几分钟内,该扩展就访问了Zak的.env文件,将其私钥传输到攻击者的服务器。三天后,攻击者清空了钱包资金。
攻击手法分析
这个恶意扩展利用了拼写错误的名称、庞大的下载量以及开发者对官方注册表的信任。它仅使用JavaScript代码,成功规避了操作系统级别的恶意软件检测。攻击主要针对在最脆弱时刻急于发布作品的开发者。Zak承认自己忽视了一些危险信号,比如缺少关联的GitHub仓库,以及发布者名称的异常。
Zak因严格的操作安全措施只损失了几百美元,主要资金仍保存在硬件钱包中。"连我都会中招,任何人都可能成为受害者,"他警告说,并强调这是他首次遭遇黑客攻击。这起事件是一系列针对开发者、利用供应链漏洞实施的价值超过50万美元的盗窃活动的一部分。
安全防护建议
事件发生后,Zak彻底重构了工作流程:使用隔离的虚拟机、专用硬件钱包和加密保险库存储密钥,建立扩展程序白名单机制,并避免匆忙安装新工具。
安全专家Hakan Unal强调:"开发者应该严格审查扩展程序,避免以明文或.env文件形式存储密钥,使用硬件钱包,并在隔离环境中进行开发。"这起事件表明,即使最注重安全的开发者,面对现代供应链攻击时依然脆弱。Zak最后总结道:"良好的操作安全措施让我避免了灭顶之灾,保持警惕终有回报。"
