O této otravě dodavatelského řetězce npm: Správce npm Qix byl přesně aktivován sociálním pracovníkem, který klikl na falešný e-mail s resetem 2FA, což mělo za následek únik povolení. Útočník pak použil svůj účet k odeslání nové verze se zadními vrátky, včetně křídy, ladění a dalších základních knihoven nejvyšší úrovně. Tento útok má velký dopad. Především je vysoce skrytá. První polovina si zachovává normální funkčnost a nehlásí okamžitě chybu. Datová část je matoucí a statické audity je obtížné odhalit. Hackeři dokonce připojili fetch, XMLHttpRequest, ethereum.request a dokonce i ladicí nástroje byly podvedeny. Za druhé, útočný efekt je smrtící. Záměna adresy není náhodná změna, ale adresa nejbližšího útočníka se vypočítá pomocí vzdálenosti levenshteinu, která je pouhým okem téměř nerozeznatelná. Je také speciálně přizpůsoben pro routery DEX a většinu swapů lze unést; Výnos je stále zfalšovanou úspěšnou odpovědí a vývojáři i uživatelé si budou myslet, že transakce je v pořádku, ale ve skutečnosti již byly prostředky převedeny. Nebýt hardwarové peněženky, která to dokázala potvrdit dvakrát na posledním skoku, mnoho lidí by možná nevědělo, jak se o peníze přišlo. Pokud používáte peněženku aplikace OneKey: Vůbec se to netýká. Pokud používáte OneKey App + OneKey Hardware: Je bezpečnější a také zcela nedotčený. Pokud používáte hardware OneKey + aplikace jiných dodavatelů: Nezapomeňte dvakrát potvrdit adresu a částku na obrazovce hardwaru. Hardwarová analýza je finálním řešením, které může v kritických okamžicích zachránit životy. Nevěřte webovým stránkám nebo zásuvným modulům, dokud nebude k dispozici oficiální zpráva nebo oprava. Nad.