深潮 TechFlow 消息,9 月 9 日,Scam Sniffer發文表示,知名開發者qix因釣魚攻擊導致npm軟件包被注入惡意代碼,相關包包括chalk、strip-ansi、color-convert等。攻擊方式為掛鉤錢包功能、篡改ETH/SOL交易收款地址及替換網絡響應中的地址。用戶建議:務必在錢包界面核對收款人和金額,檢查粘貼後地址變化,複查近期交易,高價值操作優先使用硬件錢包。
Ledger CTO Charles Guillemet表示,相關軟件包下載量超10億次,這意味著整個JavaScript生態系統可能面臨風險。惡意代碼可在用戶交易時悄然替換加密地址,竊取資金。硬件錢包用戶可通過核查交易簽名規避風險,建議非硬件錢包用戶暫緩鏈上操作,目前是否竊取助記詞尚不明確。
添加收藏
分享社交媒體
