Om denne npm-forsyningskjedeforgiftningen: npm-vedlikeholder Qix ble nøyaktig aktivert av en sosialarbeider som klikket på en falsk 2FA-tilbakestillings-e-post, noe som resulterte i tillatelseslekkasje. Angriperen brukte deretter kontoen sin til å sende en ny versjon med en bakdør, inkludert kritt, feilsøking og andre grunnleggende biblioteker på toppnivå. Dette angrepet har stor innvirkning. Først og fremst er det svært skjult. Første halvdel beholder normal funksjonalitet og rapporterer ikke umiddelbart en feil. nyttelast er forvirrende, og statiske revisjoner er vanskelige å oppdage. Hackere hektet til og med fetch, XMLHttpRequest, ethereum.request og til og med feilsøkingsverktøy ble svindlet. For det andre er angrepseffekten dødelig. Adressesubstitusjon er ikke tilfeldig endring, men den nærmeste angriperens adresse beregnes ved hjelp av levenshtein-avstanden, som er nesten umulig å skille for det blotte øye. Den er også spesielt tilpasset DEX-rutere, og de fleste bytter kan kapres; Avkastningen er fortsatt et smidd vellykket svar, og både utviklere og brukere vil tro at transaksjonen er grei, men faktisk er midlene allerede overført. Hvis det ikke var for at maskinvarelommeboken kunne bekrefte det to ganger ved siste hopp, ville mange kanskje ikke vite hvordan pengene ble borte. Hvis du bruker OneKey App-lommeboken: Ikke berørt i det hele tatt. Hvis du bruker OneKey App + OneKey Hardware: Den er sikrere og også helt upåvirket. Hvis du bruker OneKey-maskinvare + andre leverandørapper: Sørg for å bekrefte adressen og beløpet to ganger på maskinvareskjermen. Maskinvareanalyse er den endelige løsningen, som kan redde liv i kritiske øyeblikk. Ikke stol på nettsider eller plugins før det foreligger en offisiell rapport eller løsning. Over.