Sobre este envenenamento da cadeia de suprimentos npm: O mantenedor do npm QIX foi ativado com precisão por um assistente social que clicou em um e-mail falso de redefinição de 2FA, resultando em vazamento de permissão. O invasor então usou sua conta para enviar uma nova versão com um backdoor, incluindo giz, depuração e outras bibliotecas básicas de nível superior. Este ataque tem um grande impacto. Em primeiro lugar, é altamente oculto. A primeira metade mantém a funcionalidade normal e não relata imediatamente um erro. A carga útil é confusa e as auditorias estáticas são difíceis de detectar. Os hackers até mesmo fisgaram fetch, XMLHttpRequest, ethereum.request e até mesmo ferramentas de depuração foram enganadas. Em segundo lugar, o efeito do ataque é mortal. A substituição de endereço não é uma mudança aleatória, mas o endereço do invasor mais próximo é calculado usando a distância de Levenshtein, que é quase indistinguível a olho nu. Ele também é especificamente adaptado para roteadores DEX, e a maioria das trocas pode ser sequestrada; O retorno ainda é uma resposta bem-sucedida forjada, e tanto os desenvolvedores quanto os usuários pensarão que a transação está boa, mas, na verdade, os fundos já foram transferidos. Se não fosse pela carteira de hardware ser capaz de confirmá-lo duas vezes no último salto, muitas pessoas poderiam não saber como o dinheiro foi. Se você estiver usando a carteira do aplicativo OneKey: não afetada. Se você estiver usando o OneKey App + OneKey Hardware: É mais seguro e também completamente inalterado. Se você estiver usando hardware OneKey + aplicativos de outros fornecedores: certifique-se de confirmar o endereço e o valor duas vezes na tela do hardware. A análise de hardware é a solução final, que pode salvar vidas em momentos críticos. Não confie em páginas da web ou plug-ins até que haja um relatório ou correção oficial. Acima.