このnpmサプライチェーン中毒について: npm メンテナー Qix は、偽の 2FA リセット メールをクリックしたソーシャル ワーカーによって正確にアクティブ化され、許可が漏洩しました。 その後、攻撃者は自分のアカウントを使用して、チョーク、デバッグ、その他のトップレベルの基本ライブラリを含むバックドアを含む新しいバージョンを送信しました。 この攻撃は大きな影響を及ぼします。 まず、隠蔽性が高い。 前半は通常の機能を保持し、すぐにはエラーを報告しません。 ペイロードは混乱を招き、静的監査は検出が困難です。 ハッカーは、fetch、XMLHttpRequest、ethereum.request、さらにはデバッグツールさえも詐欺に遭いました。 第二に、攻撃効果は致命的です。 アドレス置換はランダムチェンジではなく、肉眼ではほとんど区別できないレーベンシュタイン距離を利用して最も近い攻撃者のアドレスを計算する。 また、DEX ルーターに特化しており、ほとんどのスワップがハイジャックされる可能性があります。 リターンは依然として偽造された成功した応答であり、開発者もユーザーもトランザクションは問題ないと思うでしょうが、実際には資金はすでに送金されています。 最後のジャンプでハードウェアウォレットが2回確認できなかったら、お金がどのようになくなったのかわからない人も多いかもしれません。 OneKey アプリウォレットを使用している場合:まったく影響を受けません。 OneKey アプリ + OneKey ハードウェアを使用している場合: より安全で、まったく影響を受けません。 OneKeyハードウェア+他ベンダーアプリをご利用の場合:必ずハードウェア画面でアドレスと金額を2回確認してください。 ハードウェア分析は最終的な解決策であり、重要な瞬間に命を救うことができます。 公式の報告や修正があるまで、Web ページやプラグインを信頼しないでください。 上。