最近有个新的供应链攻击事件，不过这次好像没那么惨重，只有几个钱包受到了影响，被窃取的代币总价值大约只有500美元。这是因为某些npm JavaScript软件包被注入了恶意代码，揭示了加密货币使用中的一个巨大隐患。

当这次漏洞被发现的时候，虽然有人担心会有数百万的资产被盗，但实际情况证明只有大约500美元的代币在最初12小时内受到了影响。据Arkham Intelligence的数据，这次攻击者的钱包偷窃了大约0.22 SOL和其他一些meme币，总价值约497美元。就在这一天，加密货币领域还出现了更大的资产损失事件，比如SwissBorg交易的损失。然而这个攻击事件仍然被认为是有潜在危险的，但损失较小是因为攻击者没有获取任何大规模交易。

这次供应链攻击和之前某事件颇有相似之处，都是在最后阶段突然改变目的地钱包地址。当某些网站使用了被污染的JavaScript包时，前端代码可能会被利用来转移资产。

曾有用户不太理解这个npm漏洞，但它的影响确实值得注意。例如之前某平台被攻击失去了大量资产就是因为类似的界面问题。网站使用的前端代码被攻击可能导致用户资产被转移，因此在确认交易时需要更加谨慎。

站点报告指出他们的代码仍然是安全的，交易可以继续进行。这次被盗的代币大多基于以太坊，包括BRETT、DORKY、VISTA和GONDOLA，但以太币（ETH）并未被影响。受影响的钱包主要属于一些小规模的交易者和Uniswap的流动性供应商，但这种影响并不大面积，说明这些应用本身没有被彻底破坏。问题主要出现在客户端在签署交易时，没有进行充分的人工验证。

即使面对这种攻击，加密货币钱包还是保持一定的风险。从理论上说，攻击者能否成功窃取代币，还是要看特定的应用以及攻击时的机会窗口。

这次事件也让许多开发人员更加警惕，市面上已经有许多关于恶意代码的消息流传，为开发者提供了很好的信息保护。在攻击发生数小时后，已经明确MetaMask用户是最受影响的，然而桌面钱包生态却没有被针对。至于未来如何避免类似事件，还需继续观察整体进展。对于这类风险，你怎么看？也欢迎留言聊聊你的看法。