9 月 8 日,Ledger 首席技术官Charles Guillemet 警告说,有可能影响整个 JavaScript 生态系统的主动供应链攻击。他在 X 上发布的一篇文章中透露,一位知名开发者的 Node Package Manager(NPM)账户已被入侵。攻击者将恶意代码推送到下载量超过 10 亿次的软件包中,引起了整个加密社区的警觉。
注入代码的目的是在交易过程中悄悄交换加密钱包地址。实际上,这意味着毫无戒心的用户可以在不知情的情况下直接向攻击者的地址发送资金。
Guillemet 强调,只要用户在签名前验证每笔交易,硬件钱包仍然是安全的。他建议所有其他用户暂停链上活动,直到情况变得更加明朗。
整个生态系统的早期担忧
这一消息立即引起了加密领域的关注,因为许多去中心化应用都依赖于开源 JavaScript 包。依赖性受损可能会暴露以太坊、Solana 和其他链上的用户。
包括Marinade、Solflare、Step Finance、Jupiter、Drift 和Phantom 在内的多个项目迅速发表声明,确认其系统未受影响。
尽管有这些保证,但潜在风险的规模仍然很大。NPM 软件包是许多广泛使用的应用程序的基础,这种性质的漏洞凸显了软件开发供应链安全的脆弱性。
攻击机制和意图
在 9 月 9 日的后续文章中,Guillemet 提供了更多细节。攻击者通过冒充 NPM 支持的网络钓鱼电子邮件获得了访问权限。他们使用虚假域名窃取了开发人员的凭据,并对广泛使用的软件包发布了恶意更新。注入的代码试图拦截基于网络的加密活动,挂钩网络响应并替换钱包地址。
然而,执行错误削弱了攻击的有效性。恶意代码导致持续集成和部署管道崩溃,提前向开发人员和安全团队发出警报,这很可能超出了攻击者的预期。这种破坏限制了攻击的范围,减少了成功盗窃的次数。
经济损失最小
区块链分析表明,攻击者窃取的金额很小。研究人员@4484 在 "NPM 攻击 "标签下对与阿卡姆事件相关联的钱包进行了分组,发现被盗资金只有 503.59 美元。几个小时前,这个数字还是 66 美元,这表明总数可能在逐步增加,但与潜在的入侵规模相比仍然微不足道。
DefiLlama 的化名创始人0xngmi 解释了影响有限的原因。恶意代码可以利用被破坏的依赖关系修改网站上的交易,例如替换目标地址。但是,用户仍需在钱包中手动批准这些被修改的交易,从而防止资金自动流失。
安全联盟(Security Alliance)指出,如果攻击者能更有效地执行有效载荷,潜在的破坏可能是巨大的。
狭路相逢
9 月份的故宫供应链攻击事件既是一个警告,也是一个提醒。实际损失很小,但潜在风险却很大。受影响软件包的下载量超过 10 亿次,这一事件表明,一个受攻击的账户会对整个生态系统产生连锁反应。
加密货币用户和开发者面临着不断变化的威胁环境。虽然硬件钱包和交易验证仍然是可靠的防御手段,但攻击者将继续探究软件供应链的弱点。最近一次事件可能以几乎 "无受害者"而告终,但下一次事件的破坏性可能要大得多。
在 SolanaFloor 上阅读更多内容
您认为 Solana 存在认知问题吗?