Oto co się wydarzyło w przypadku ataku na łańcuch dostaw npm: Utrzymujący npm, qix, został precyzyjnie zmanipulowany społecznie, klikając w fałszywy e-mail do resetowania 2fa, co doprowadziło do wycieku uprawnień. Napastnik następnie użył jego konta do wydania nowej wersji z tylnym wejściem, w tym chalk, debug i innych podstawowych bibliotek. Atak ten ma ogromny zasięg. Po pierwsze, jest bardzo ukryty. Pierwsza część zachowuje normalne funkcje, nie zgłasza natychmiast błędów. Payload został zmyślony, a statyczny audyt jest bardzo trudny do wykrycia. Hakerzy nawet podpięli się pod fetch, XMLHttpRequest, ethereum.request, nawet narzędzia debugowania mogą być oszukane. Po drugie, skutki ataku są śmiertelne. Zmiana adresu nie jest przypadkowa, ale obliczana na podstawie odległości Levenshteina, aby znaleźć najbliższy adres napastnika, co sprawia, że użytkownik ledwo to zauważa. Zostało to specjalnie dostosowane do routerów dex, więc większość swapów może być przechwycona; zwracane są również fałszywe odpowiedzi o sukcesie, więc deweloperzy i użytkownicy myślą, że transakcja jest w porządku, podczas gdy środki zostały już przeniesione. Gdyby nie to, że portfel sprzętowy może potwierdzić na ostatnim etapie, wiele osób mogłoby w ogóle nie wiedzieć, jak straciło pieniądze. Jeśli używasz portfela onekey app: całkowicie nie jest to dotknięte. Jeśli używasz onekey app + sprzętu onekey: jest to jeszcze bezpieczniejsze, również całkowicie nie jest to dotknięte. Jeśli używasz sprzętu onekey + aplikacji innych producentów: koniecznie potwierdź adres i kwotę na ekranie sprzętowym. Analiza na sprzęcie jest ostatecznym zabezpieczeniem, które może uratować życie w krytycznym momencie. Nie ufaj wyświetlaniu na stronach internetowych lub wtyczkach, dopóki nie ma oficjalnego raportu lub środków naprawczych. To wszystko.