最近发现的供应链攻击仅影响了少数钱包,盗走了价值约 500 美元的各种代币。然而,向 npm JavaScript 包注入恶意代码暴露了加密货币使用中一个巨大的潜在漏洞。.
最近发生的供应链攻击可能会导致加密货币钱包资金被盗,但最终并未造成数百万美元的损失。根据攻击中使用的钱包汇总数据,在漏洞被发现后的前12小时内,仅有约500美元的资产受到影响。.
作为Cryptopolitan 据报道,最初用户被敦促停止发送加密货币。然而,全球无需许可的系统无法停止运行,预计会造成重大损失。
根据 Arkham Intelligence 的数据,npm 攻击者的钱包仅窃取了约 0.22 个 SOL 和其他一些价值约497 美元。过去一天,加密货币领域在 SwissBorg 交易所和其他协议上遭受了更大的损失。然而,供应链攻击仍然被认为十分危险,损失较小是因为攻击者没有获取任何大规模交易。
供应链 npm 攻击类似于 Bybit 黑客攻击
此次供应链攻击与 Bybit 黑客攻击有些类似,都是在最后一刻更改目标钱包地址。被入侵的前端代码可能会导致使用某些受污染 JavaScript 包的网站资产被转移。.
人们似乎并不了解 npm 的漏洞。这就像 Bybit 因为编写了 Safe 多重签名用户界面而被黑客窃取了十亿美元一样。使用了恶意软件包的网站前端代码都受到了影响。因此,务必仔细核实交易。.
- Beanie (@beaniemaxi) 2025 年 9 月 8 日
以 Bybit 黑客事件为例,前端漏洞利用是蓄意的,且影响范围有限,但 npm 供应链代码注入却影响了高达 20 亿次的每周下载量。早期报告显示,受污染的 npm 包的影响范围有限。.
大多数主流Web3交易平台报告称其代码安全,交易可以继续进行。被盗代币大多在 Ethereum上,包括BRETT、DORKY、VISTA和GONDOLA,没有ETH被盗。.
此次攻击影响了一些小型去中心化交易所(DEX)交易者和Uniswap流动性提供者的钱包,但规模并不大,这表明应用程序本身并未被攻破。风险在于终端用户在缺乏充分人工验证的情况下签署了交易。
加密货币是否仍然面临 npm 攻击的风险?
加密钱包通常面临供应链攻击的风险。然而,代币被盗的可能性取决于应用程序本身,以及实施攻击所需的时间窗口相对较短。.
代码的案例已被广泛公布,这可能有助于保护应用程序开发人员。
攻击发生在用户新下载应用之后,这意味着漏洞仅被注入到少数加密货币应用中。攻击发生数小时后,很明显 MetaMask 用户受影响最大,而桌面钱包生态系统并未受到攻击。.
