Sobre o ataque à cadeia de suprimentos do npm: O mantenedor do npm, qix, foi alvo de engenharia social precisa, clicando em um e-mail falso de redefinição de 2fa, o que resultou em vazamento de permissões. O atacante, em seguida, usou sua conta para enviar uma nova versão com backdoor, afetando bibliotecas fundamentais como chalk e debug. Este ataque teve um grande impacto. Primeiro, a ocultação é forte. A primeira parte mantém a funcionalidade normal, não gerando erros imediatamente. O payload foi ofuscado, tornando difícil a detecção em auditorias estáticas. Os hackers até hookaram fetch, XMLHttpRequest e ethereum.request, enganando até as ferramentas de depuração. Em segundo lugar, o efeito do ataque é letal. A substituição de endereços não é aleatória, mas calcula o endereço mais próximo do atacante usando a distância de Levenshtein, quase impossível de ser percebido a olho nu. Ele também foi adaptado para roteadores dex, onde a maioria das trocas pode ser sequestrada; a resposta retornada ainda é uma resposta de sucesso falsa, fazendo com que desenvolvedores e usuários acreditem que a transação está sem problemas, enquanto os fundos já foram transferidos. Se não fosse pela confirmação em duas etapas do hardware wallet na última etapa, muitas pessoas poderiam nem saber como o dinheiro desapareceu. Se você está usando a carteira onekey app: totalmente imune. Se você está usando onekey app + hardware onekey: mais seguro, igualmente totalmente imune. Se você está usando hardware onekey + app de outros fabricantes: certifique-se de confirmar o endereço e o valor na tela do hardware. A análise no hardware é a última linha de defesa, podendo salvar vidas em momentos críticos. Não confie cegamente nas exibições de páginas da web ou plugins, até que haja um relatório oficial ou medidas de correção. Isso é tudo.