近期npm攻击中价值$500 的加密货币表情包代币被抽走

最近在npm JavaScript包中发现的供应链漏洞导致了相对较小的财务影响，大约$500 的各种代币从少数钱包中被提取。尽管金钱损失有限，但这一事件暴露了加密货币使用中的重大潜在弱点。

初步报告的供应链攻击引发了对重大损失的担忧，促使用户暂时停止加密交易。然而，全球无许可系统的去中心化特性意味着完全停止是不可行的。

来自Arkham Intelligence的数据表明，攻击者的钱包仅成功获得约0.22 SOL和几种 meme 代币，总价值约为497美元。尽管这个金额与Gate等平台以及其他协议最近遭受的损失相比显得微不足道，但供应链攻击仍然是一个严重的担忧。造成影响微小的原因是攻击者未能拦截任何大规模交易。

与以往安全漏洞的对比

此供应链攻击与过去涉及一个主要交易所的事件相似，当时目标钱包在最后时刻被更改。受影响的前端代码可能会将资产从使用受影响的JavaScript包的网站重定向。

一位加密专家在社交媒体上评论道：“npm漏洞的重要性似乎被低估了。这与一家知名交易所因多重签名用户界面被攻破而损失十亿美元的事件相当。使用恶意软件包的网站已经泄露了前端代码。用户在验证交易时必须格外小心。”

虽然上述交易所黑客攻击是一起针对性且有限的事件，但npm供应链代码注入已影响多达20亿次每周下载。幸运的是，早期报告表明，受污染的npm包的影响范围有限。

对加密生态系统的影响

许多领先的Web3平台已经确认了其代码的安全性，允许交易活动继续进行而不受干扰。被盗代币中的大多数在以太坊网络上，包括BRETT、DORKY、VISTA和GONDOLA，没有ETH被盗。

此次攻击主要影响了某些平台上小规模去中心化交易所交易者和流动性提供者的钱包。然而，影响并不广泛，表明应用程序本身并未受到损害。主要风险在于最终用户在没有充分手动验证的情况下签署交易。

进行中的风险和预防措施

虽然加密钱包通常面临来自供应链攻击的风险，但代币盗窃的潜力取决于应用程序本身以及相对较短的利用机会窗口。

恶意加密盗窃代码示例的广泛发布可能帮助应用开发者保护自己免受类似漏洞的影响。

这些攻击发生在新下载之后，这表明漏洞被引入到有限数量的加密应用中。事件发生数小时后，很明显某些基于浏览器的钱包用户受到的影响最大，并没有明显针对桌面钱包生态系统。

随着加密社区继续应对不断变化的安全挑战，这一事件提醒我们在迅速发展的数字资产世界中保持警惕和采取强有力的安全措施的重要性。