Breaking: Krypto Gelder in Gefahr durch riesigen Supply Chain Angriff
Ein manipuliertes npm-Paket bedroht JavaScript-Projekte und Krypto-Wallets. So funktioniert der Angriff und so schützt du dich.
Krypto Hack: Was ist passiert?
Das weit verbreitete npm-Paket error-ex wurde in der Version 1.3.3 mit schädlichem Code versehen. Im Hintergrund lauern zwei richtig gefährliche Angriffsarten:
- Clipboard Hijacking: Wenn du eine Wallet-Adresse einfügst, tauscht die Malware sie heimlich gegen eine fast identische Angreifer-Adresse aus.
- Transaction Interception: Nutzt du eine Browser-Wallet, kann der Code Transaktionen abfangen und die Empfängeradresse ändern, bevor du überhaupt die Bestätigung siehst.
Kaum zu erkennen — außer du überprüfst jedes einzelne Zeichen der Adresse, bevor du sendest.
Wer ist von diesem Krypto Hack betroffen?
- Entwickler: Jedes Projekt, das Abhängigkeiten ohne feste Versionen installiert, könnte die manipulierte Version drin haben. Das betrifft CI-Pipelines, Builds und Web-Apps.
- Krypto-Nutzer: Betroffen sind große Coins wie $ BTC , $ETH, $SOL, $TRX, $LTC und $BCH. Sowohl Copy-Paste-Nutzer als auch Browser-Wallets sind gefährdet.
- Plattformen: Selbst zentralisierte Apps, die npm-Libraries eingebunden haben, könnten unbewusst betroffen sein.
Reale Auswirkungen
Schon jetzt hat SwissBorg einen Vorfall bestätigt: Durch eine kompromittierte Partner-API wurden rund 192.6K SOL (~41,5 Mio. USD) abgezogen. Betroffen war das SOL Earn Program, weniger als 1% der Nutzer. Die SwissBorg-App selbst blieb sicher. Das Team hat zugesichert, Nutzer mit Treasury-Mitteln und Unterstützung von White-Hat-Hackern zu entschädigen.
So schützt du dich
Hier sind die wichtigsten Schritte, die du sofort machen solltest:
Für Wallet-Nutzer
✅ Jede Transaktion prüfen — die komplette Empfängeradresse checken, bevor du unterschreibst.
✅ Hardware-Wallets mit klarem Signieren nutzen.
✅ Browser-Wallet-Extensions minimieren, nur was du wirklich brauchst.
✅ Wenn dir etwas komisch vorkommt (unerwartete Signaturanfragen), Tab sofort schließen.
Für Entwickler
⚙️ In CI-Builds statt npm install lieber npm ci nutzen, damit nur feste Versionen installiert werden.
⚙️ Mit npm ls error-ex checken, ob das Projekt betroffen ist.
⚙️ Sichere Versionen pinnen (error-ex@1.3.2) und Lockfiles neu generieren.
⚙️ Tools wie Snyk oder Dependabot einbauen.
⚙️ Jede Änderung an package-lock genauso ernst prüfen wie Code-Änderungen.
Ausblick
Dieser Vorfall zeigt wieder mal, wie anfällig Supply-Chains im Web3 sind. Ein kleines Paket kann einen riesigen Domino-Effekt auslösen — Milliarden von Downloads, Entwickler und Krypto-Nutzer weltweit betroffen. Die größte Gefahr liegt aktuell im Austauschen von Wallet-Adressen, aber das eigentliche Risiko reicht viel tiefer ins Finanz-Ökosystem.
Bis auf Weiteres gilt: Immer genau prüfen, bevor du unterschreibst. Dependencies festsetzen. Keine Abkürzungen bei Sicherheit.
Haftungsausschluss: Der Inhalt dieses Artikels gibt ausschließlich die Meinung des Autors wieder und repräsentiert nicht die Plattform in irgendeiner Form. Dieser Artikel ist nicht dazu gedacht, als Referenz für Investitionsentscheidungen zu dienen.
Das könnte Ihnen auch gefallen
Bitget Spot Margin Ankündigung zur Aussetzung von L3/USDT, ULTI/USDT Margin Trading Diensten
[Erstmaliges Listing] Bitget wird Planck (PLANCK) in der Innovation-, KI- und DePIN-Zone listen.
PLAI kaufen und 100 % Gebührenrabatt in PLAI erhalten!
Bitget zur Unterstützung von Kredit- und Margin-Funktionen für ausgewählte Assets in einem einheitlichen Konto
Im Trend
MehrKrypto-Preise
Mehr
