حول تسمم سلسلة التوريد npm: تم تنشيط مشرف NPM Qix بدقة بواسطة أخصائي اجتماعي نقر على بريد إلكتروني مزيف لإعادة تعيين المصادقة الثنائية (2FA) ، مما أدى إلى تسرب الأذونات. ثم استخدم المهاجم حسابه لإرسال نسخة جديدة بباب خلفي ، بما في ذلك الطباشير وتصحيح الأخطاء وغيرها من المكتبات الأساسية عالية المستوى. هذا الهجوم له تأثير كبير. بادئ ذي بدء ، يتم إخفاؤه للغاية. يحتفظ النصف الأول بالوظائف العادية ولا يبلغ على الفور عن خطأ. الحمولة مربكة ، ويصعب اكتشاف عمليات التدقيق الثابتة. حتى أن المتسللين مدمن مخدرات الجلب و XMLHttpRequest و ethereum.request وحتى أدوات تصحيح الأخطاء تم خداعها. ثانيا ، تأثير الهجوم مميت. استبدال العنوان ليس تغييرا عشوائيا ، ولكن يتم حساب عنوان أقرب مهاجم باستخدام مسافة levenshtein ، والتي لا يمكن تمييزها بالعين المجردة تقريبا. كما أنه تم تكييفه خصيصا لأجهزة توجيه DEX ، ويمكن اختطاف معظم المقايضات. لا يزال العائد استجابة ناجحة مزورة ، وسيعتقد كل من المطورين والمستخدمين أن المعاملة جيدة ، ولكن في الواقع ، تم تحويل الأموال بالفعل. إذا لم تكن محفظة الأجهزة قادرة على تأكيدها مرتين في القفزة الأخيرة ، فقد لا يعرف الكثير من الناس كيف ذهب الأموال. إذا كنت تستخدم محفظة تطبيق OneKey: لا تتأثر على الإطلاق. إذا كنت تستخدم تطبيق OneKey + OneKey Hardware: فهو أكثر أمانا ولا يتأثر تماما. إذا كنت تستخدم أجهزة OneKey + تطبيقات البائعين الأخرى: تأكد من تأكيد العنوان والمبلغ مرتين على شاشة الأجهزة. تحليل الأجهزة هو الحل النهائي ، والذي يمكن أن ينقذ الأرواح في اللحظات الحرجة. لا تثق في صفحات الويب أو المكونات الإضافية حتى يكون هناك تقرير رسمي أو إصلاح. فوق.