TLDR npm hack; Wykorzystaj zależności docelowej strony internetowej, aby wstrzyknąć (inną/złośliwą) adres docelowego portfela dla transakcji. Na ile nam wiadomo - klucze są bezpieczne, a środki są safu (chyba że zostaną zatwierdzone/podpisane na złośliwej stronie). Rzeczywistość jest taka, że jest stosunkowo niewiele skompromitowanych stron, ale ponieważ (ty/konsument) nie możesz łatwo sprawdzić, czy projekt/strona internetowa korzysta z tych zależności, lepiej być ostrożnym niż żałować i poczekać, aż to się uspokoi/'zostanie oznaczone jako bezpieczne' od exploit.