供应链攻击席卷加密领域：如何应对与防范风险？

原创 | Odaily 星球日报（@OdailyChina）

作者｜Azuma（@azuma_eth）

北京时间 9 月 9 日，Ledger 首席技术官 Charles Guillemet 在社交媒体 X 上发布预警称：“当前正发生一起大规模供应链攻击事件，一名知名开发者的 NPM 账号遭到入侵。受影响的软件包下载量已超过 10 亿次，这意味着整个 JavaScript 生态系统可能面临潜在威胁。”

Guillemet 进一步解释道：“恶意代码会静默篡改加密货币地址，从而窃取用户资金。如果你使用硬件钱包，请务必仔细核对每一笔签名交易以确保安全。如果你没有使用硬件钱包，建议暂时避免进行任何链上交易。目前尚不清楚攻击者是否已经开始直接窃取软件钱包的助记词。”

事件背景

根据 Guillemet 引用的安全报告，此次事件的直接原因在于：知名开发者 @qix 的 NPM 账户被入侵，导致数十个软件包被恶意篡改并发布新版本，包括 chalk、strip-ansi 和 color-convert 等。恶意代码可能已经通过开发者或用户自动安装依赖的方式传播至终端。

注：受损软件包的周下载量数据。

这是一起典型的供应链攻击案例 —— 攻击者通过在开发工具或依赖系统中植入恶意代码（如 NPM 包）来实施恶意行为。NPM（Node Package Manager）是 JavaScript/Node.js 生态中最常用的软件包管理工具，其主要功能包括管理依赖关系、安装和更新软件包以及共享代码等。

NPM 的生态系统规模庞大，目前已拥有数百万个软件包，几乎所有 Web3 项目、加密钱包及前端工具都会依赖 NPM。也正因为其依赖数量庞大且链条复杂，NPM 成为供应链攻击的主要目标。一旦攻击者在某个常用软件包中植入恶意代码，就可能影响成千上万的应用程序和用户。

从上图的恶意代码扩散流程可以看出：

• 某项目（蓝色框）会直接依赖一些常见的开源库，例如 express。
• 这些直接依赖（绿色框）又会依赖其他间接依赖（黄色框，如 lodash）。
• 如果某个间接依赖被攻击者植入了恶意代码（红色框），它将顺着依赖链条进入该项目。

对加密货币行业的影响

此次安全事件与加密货币行业的直接关联在于，黑客向受污染的软件包中植入了一个精密的“加密货币剪贴板劫持程序”，通过替换钱包地址和劫持交易来窃取用户的加密资产。

Stress Capital 创始人 GE（@GuarEmperor）在 X 平台上进一步解释称，黑客注入的“剪贴板劫持程序”采用了两种攻击模式：在被动模式下，利用“莱文斯坦距离算法（Levenshtein distance algorithm）”替换钱包地址，由于视觉上相似性极高，因此极难察觉；在主动模式下，检测浏览器内的加密钱包，并在用户签署交易前篡改目标地址。

由于此次攻击针对的是 JavaScript 项目的基础层库，即便只是间接依赖这些库的项目也可能受到影响。

黑客获利情况

黑客植入的恶意代码暴露了其攻击地址，其中以太坊上的主要攻击地址为 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976，资金主要来源于以下三个地址：

• 0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
• x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
• 0x30F895a2C66030795131FB66CBaD6a1f91461731

Arkham 已为本次攻击事件制作了跟踪页面，用户可以在该页面实时查询黑客的获利及资金转移情况。

截至本文撰写时，黑客仅获利 496 美元。但由于尚未明确恶意代码的扩散范围，预计这一数字可能会继续上升。目前，开发者已收到通知，并正在与 NPM 安全团队合作解决问题，恶意代码已被从大部分受影响的软件包中移除，形势正在逐步得到控制。

如何规避风险？

Defillama 创始人 @0xngmi 在 X 平台上表示，尽管此次事件听起来令人担忧，但实际影响范围并没有想象中那么广泛。因为只有在被黑的 NPM 软件包发布新版本后推送过更新的网站才会受到影响，而大多数项目都会固定其依赖关系，因此即使它们推送更新，仍会继续使用旧版本的安全代码。

然而，由于用户侧无法确切知道某个项目是否固定了依赖项，或者是否存在动态下载的依赖项，因此目前首要任务是由项目方进行自检并公开披露。

截至目前，包括 MetaMask、Phantom、Aave、Fluid、Jupiter 等多个钱包和应用端项目均已确认自身未受此次事件影响，因此用户可以放心使用这些已确认安全的钱包访问协议。但对其他尚未披露安全信息的钱包或项目，建议暂时避免使用以确保安全。