Tietoja tästä npm-toimitusketjun myrkytyksestä: Sosiaalityöntekijä aktivoi npm-ylläpitäjän QIX:n tarkasti, kun hän napsautti väärennettyä 2FA-nollaussähköpostia, mikä johti lupavuotoon. Hyökkääjä käytti sitten tiliään lähettääkseen uuden version takaovella, mukaan lukien liitu, virheenkorjaus ja muut ylätason peruskirjastot. Tällä hyökkäyksellä on suuri vaikutus. Ensinnäkin se on hyvin piilotettu. Ensimmäinen puolisko säilyttää normaalin toiminnallisuuden eikä ilmoita virheestä välittömästi. Hyötykuorma on hämmentävää, ja staattisia tarkastuksia on vaikea havaita. Hakkerit jopa koukuttivat fetchin, XMLHttpRequestin, ethereum.requestin ja jopa virheenkorjaustyökalut huijattiin. Toiseksi hyökkäysvaikutus on tappava. Osoitteen korvaaminen ei ole satunnainen muutos, vaan lähimmän hyökkääjän osoite lasketaan levenshtein-etäisyydellä, jota paljaalla silmällä on lähes mahdoton erottaa. Se on myös erityisesti mukautettu DEX-reitittimiin, ja useimmat swapit voidaan kaapata; Tuotto on edelleen väärennetty onnistunut vastaus, ja sekä kehittäjät että käyttäjät ajattelevat, että kauppa on hyvä, mutta itse asiassa varat on jo siirretty. Jos laitteistolompakko ei pystyisi vahvistamaan sitä kahdesti viimeisellä hypyllä, monet ihmiset eivät ehkä tietäisi, miten rahat olivat kadonneet. Jos käytät OneKey App -lompakkoa: Ei vaikuta lainkaan. Jos käytät OneKey-sovellusta + OneKey-laitteistoa: Se on turvallisempi ja myös täysin koskematon. Jos käytät OneKey-laitteistoa + muita valmistajan sovelluksia: Muista vahvistaa osoite ja summa kahdesti laitteistonäytössä. Laitteistoanalyysi on lopullinen ratkaisu, joka voi pelastaa ihmishenkiä kriittisinä hetkinä. Älä luota verkkosivuihin tai laajennuksiin ennen kuin virallinen raportti tai korjaus on tehty. Yläpuolella.