大规模漏洞威胁加密货币生态系统，用户被警告暂停交易

Ledger 首席技术官查尔斯·吉列梅 (Charles Guillemet) 周一发出警告，称在发现受损的 JavaScript 代码包后，大量加密货币用户可能面临资金被盗的风险。

NPM 是 JavaScript 的一个著名包管理器，而 Guillemet 在 X 上发布的警告指出，一旦信誉良好的开发人员账户遭到入侵，整个编程语言的生态系统都可能变得脆弱，并可能将恶意负载传播到各个网站。

“该恶意载荷的工作原理是悄无声息地动态交换加密地址，从而窃取资金，”他说道，并补充说，受感染的软件包已被下载超过10亿次。Guillemet 补充道，“可能所有区块链”上的资金都可能受到该漏洞的攻击。

软件开发人员 Cygaar 同时表示：“我强烈建议现在不要签署任何加密交易。”他在警告中指出“各种加密网站”可能存在漏洞。

区块链安全公司 Blockaid 在 X 上表示，该漏洞影响了大约二十几个流行的软件包，例如“color-name”和“color-string”。NPM 托管由其他人编写的可重用代码包，用户可以将其集成到自己的项目中。

Cygaar 解释道：“它将交易和批准的目标地址更改为攻击者的地址，而不是您实际尝试交互的地址。”

Cygaar 补充道，NPM 后来似乎禁用了受感染的软件包。不过，他鼓励开发人员仍然检查他们的依赖项，并指出他们可能在更改之前就下载了受感染的软件包。

这一事件的情绪与 Guillemet 在 X 上链接的一篇文章的作者撰写的内容相呼应。该文章表示他们“正在积极与 NPM 安全团队合作解决该问题”，并且恶意代码已从大多数受影响的网页中删除。

作者表示，受影响的 NPM 账户名为“qix”，恶意补丁影响了“JavaScript 中的一些最基本的实用程序”，这些实用程序是无数项目的基础。

观众注意到，恶意负载可以替换加密货币地址，但用户仍然需要在发送资金之前手动批准交易 - 这是一个让用户认识到他们的资金流向错误位置的窗口。

Loopscale 联合创始人兼首席运营官 Mary Gooneratne 表示，这种情况凸显了加密行业在某些方面仍然容易受到 Web2 世界和其他形式的开源软件的依赖。解密.

受到威胁的软件包只存在了几个小时，但“这仍然非常可怕”，她表示，并指出有措施可以防止 NPM 软件包自动升级。

“这对生态系统来说是一个很好的教训，”她说。“我认为这对每个人来说都是一个很好的机会，确保一切都得到清理。”

Gooneratne 表示，Solana 上的借贷协议 Loopscale 并未受到攻击。此外，自托管钱包 Phantom 也是周一被攻击的项目之一。说它没有受到供应链攻击的影响。

在 Github 上，与被盗 NPM 账户绑定的个人表示他们已经联系了 NPM，该公司正在努力移除被盗用的软件包。他们表示，自己成了一封重置账户双因素身份验证邮件的受害者。

“是的，我被黑了，”他们写道。“非常抱歉，这太令人尴尬了。”

解密已联系 NPM 征求意见，但尚未立即收到回复。

编者注：此故事为突发新闻，将更新更多背景信息。