最近有個新的供應鏈攻擊事件，不過這次好像沒那麼慘重，只有幾個錢包受到影響，被竊取的代幣總價值大約只有500美元。這是因為某些npm JavaScript軟體包被注入了惡意程式碼，揭示了加密貨幣使用中的一個巨大隱患。

當這次漏洞被發現的時候，雖然有人擔心會有數百萬的資產被盜，但實際情況證明只有大約500美元的代幣在最初12小時內受到影響。據Arkham Intelligence的資料，這次攻擊者的錢包偷竊了大約0.22 SOL和其他一些MEME幣，總價值約497美元。就在這一天，加密貨幣領域還出現了更大的資產損失事件，比如SwissBorg交易的損失。然而這個攻擊事件仍然被認為是有潛在危險的，但損失較小是因為攻擊者沒有取得任何大規模交易。

這次供應鏈攻擊和之前某事件頗有相似之處，都是在最後階段突然改變目的地錢包地址。當某些網站使用了被污染的JavaScript包時，前端程式碼可能會被利用來轉移資產。

曾有用戶不太理解這個npm漏洞，但它的影響確實值得注意。例如之前某平台被攻擊失去了大量資產就是因為類似的界面問題。網站使用的前端程式碼被攻擊可能導致用戶資產被轉移，因此在確認交易時需要更加謹慎。

站點報告指出他們的程式碼仍然是安全的，交易可以繼續進行。這次被竊的代幣大多基於以太坊，包括BRETT、DORKY、VISTA和GONDOLA，但以太幣（ETH）並未受到影響。受影響的錢包主要屬於一些小規模的交易者和Uniswap的流動性供應商，但這種影響並不大範圍，說明這些應用本身沒有被徹底破壞。問題主要出現在客戶端在簽署交易時，沒有進行充分的人工驗證。

即使面對這種攻擊，加密貨幣錢包仍然保持一定的風險。從理論上說，攻擊者能否成功竊取代幣，還是要看特定的應用以及攻擊時的機會窗口。

這次事件也讓許多開發人員更加警覺，市面上已經有許多關於惡意程式碼的消息流傳，為開發者提供了很好的資訊保護。在攻擊發生數小時後，已經明確MetaMask用戶是最受影響的，然而桌面錢包生態卻沒有被針對。至於未來如何避免類似事件，還需繼續觀察整體進展。對於這類風險，你怎麼看？也歡迎留言聊聊你的看法。