NPM 黑客攻击注入恶意钱包地址替换
近期一次 NPM 黑客攻击影响了 18 个流行的 Node 包版本,包括 chalk、debug 和 strip-ansi。攻击者通过伪装成 NPM 支持团队的钓鱼邮件窃取开发者凭证,随后发布恶意更新,在复制加密钱包地址时静默替换为攻击者控制的地址。受影响的网络包括 BTC、ETH、SOL、TRX 和 LTC。尽管仅约 50 美元被盗,Ledger 首席技术官 Charles Guillemet 警告称,此类供应链攻击对加密安全构成重大威胁。TON 首席技术官 Anatoly Makosov 呼吁开发者尽快打补丁、锁定依赖并重建应用以清除剪贴板劫持漏洞。交易者应使用经审计或硬件钱包、核实交易签名并监控软件包完整性,以防范软件钱包漏洞。
中性
此次 NPM 黑客攻击凸显了严重的软件供应链攻击风险,但损失极小且已迅速修补。短期内对交易影响有限,因为核心区块链协议不受影响。长期来看,此事件强调了经审计钱包和依赖锁定等更好安全措施的重要性,或将提升整体加密基础设施的信心。对市场价格的净影响可能是中性。