Om denna npm-förgiftning av leveranskedjan: npm-förvaltaren qix aktiverades korrekt av en socialarbetare som klickade på ett falskt e-postmeddelande om 2FA-återställning, vilket resulterade i att tillstånd läckte ut. Angriparen använde sedan sitt konto för att skicka en ny version med en bakdörr, inklusive krita, felsökning och andra grundläggande bibliotek på toppnivå. Den här attacken har en stor inverkan. Först och främst är det mycket dolt. Den första halvan behåller normal funktionalitet och rapporterar inte omedelbart ett fel. Nyttolasten är förvirrande och statiska granskningar är svåra att upptäcka. Hackare lurade till och med fetch, XMLHttpRequest, ethereum.request och till och med felsökningsverktyg. För det andra är attackeffekten dödlig. Adressersättning är inte en slumpmässig förändring, utan den närmaste angriparens adress beräknas med hjälp av levenshtein-avståndet, som är nästan omöjligt att skilja åt med blotta ögat. Den är också specifikt anpassad till DEX-routrar, och de flesta byten kan kapas; Avkastningen är fortfarande ett förfalskat framgångsrikt svar, och både utvecklare och användare kommer att tro att transaktionen är bra, men i själva verket har pengarna redan överförts. Om det inte vore för att hårdvaruplånboken kunde bekräfta det två gånger vid det sista hoppet, skulle många kanske inte veta hur pengarna tog vägen. Om du använder OneKey-appplånboken: Påverkas inte alls. Om du använder OneKey-appen + OneKey-maskinvaran: Den är säkrare och påverkas inte alls. Om du använder OneKey-maskinvara + andra leverantörsappar: Var noga med att bekräfta adressen och beloppet två gånger på maskinvaruskärmen. Hårdvaruanalys är den slutliga lösningen, som kan rädda liv i kritiska ögonblick. Lita inte på webbsidor eller plugins förrän det finns en officiell rapport eller fix. Över.