Tin nóng: Các quỹ crypto đang gặp rủi ro do một cuộc tấn công chuỗi cung ứng quy mô lớn
Crypto Hack: Đã xảy ra chuyện gì?
Một gói npm được sử dụng rộng rãi, error-ex, đã bị chỉnh sửa trong phiên bản 1.3.3. Ẩn bên trong là mã hóa khó hiểu kích hoạt hai chế độ tấn công nguy hiểm:
- Chiếm quyền clipboard: Khi bạn dán địa chỉ ví, phần mềm độc hại âm thầm thay thế nó bằng địa chỉ giống của kẻ tấn công.
- Chặn giao dịch: Nếu bạn sử dụng ví trình duyệt, mã độc có thể chặn các lệnh giao dịch và thay đổi địa chỉ người nhận trước khi bạn nhìn thấy màn hình xác nhận.
Điều này khiến bạn gần như không thể nhận ra trừ khi kiểm tra cẩn thận từng ký tự của địa chỉ mà bạn đang gửi đến.
Ai đang gặp rủi ro từ vụ Crypto Hack này?
- Nhà phát triển: Bất kỳ dự án nào kéo dependencies mà không khóa phiên bản chặt chẽ đều có thể đã cài đặt phiên bản bị nhiễm. Điều này có thể ảnh hưởng đến CI pipelines, bản dựng production và các ứng dụng dựa vào JavaScript.
- Người dùng crypto: Phần mềm độc hại nhắm vào các tài sản lớn bao gồm $BTC , $ETH, $SOL, $TRX, $LTC và $BCH. Cả người dùng clipboard và ví trình duyệt đều có nguy cơ bị ảnh hưởng.
- Nền tảng: Ngay cả các ứng dụng tập trung tích hợp thư viện npm cũng có thể đã vô tình chứa mã độc hại.
Công ty nào đã bị ảnh hưởng?
Hiện tại, SwissBorg đã xác nhận bị tấn công liên quan đến API đối tác bị xâm phạm. Khoảng 192.6K SOL (~$41.5M) đã bị rút trong vụ tấn công. Mặc dù ứng dụng SwissBorg vẫn an toàn, nhưng Chương trình SOL Earn của họ đã bị ảnh hưởng, tác động đến <1% người dùng. Nền tảng này đã cam kết các biện pháp phục hồi, bao gồm quỹ dự trữ và hỗ trợ từ các hacker mũ trắng.
Làm sao để bảo vệ bản thân
Đây là những việc bạn cần làm ngay bây giờ:
Dành cho người dùng ví
✅ Luôn xác minh mọi giao dịch — kiểm tra đầy đủ địa chỉ người nhận trước khi ký.
✅ Sử dụng ví phần cứng với chức năng ký rõ ràng.
✅ Tránh các tiện ích mở rộng ví trình duyệt không cần thiết.
✅ Nếu có điều gì đó bất thường (yêu cầu ký không mong đợi), hãy đóng tab ngay lập tức.
Dành cho nhà phát triển
⚙️ Chuyển CI builds từ npm install sang npm ci để khóa dependencies.
⚙️ Chạy npm ls error-ex để phát hiện các bản cài đặt bị nhiễm.
⚙️ Khóa phiên bản an toàn (error-ex@1.3.2) và tạo lại lockfiles.
⚙️ Thêm các công cụ quét dependencies như Snyk hoặc Dependabot.
⚙️ Xem xét thay đổi package-lock với mức độ nghiêm ngặt như review code.
Triển vọng
Sự cố này cho thấy chuỗi cung ứng trong Web3 và các lĩnh vực khác rất mong manh. Một gói nhỏ bị xâm phạm có thể lan rộng thành hàng tỷ lượt tải xuống, ảnh hưởng đến cả nhà phát triển và người nắm giữ crypto trên toàn thế giới. Nguy cơ trước mắt là các cuộc tấn công hoán đổi địa chỉ, nhưng mối lo lớn hơn là mức độ lan rộng của nó vào hạ tầng tài chính.
Hiện tại: hãy kiểm tra kỹ trước khi ký, khóa dependencies và đừng bỏ qua các biện pháp bảo mật.
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
Token IP của Story tăng vọt 25% sau khi công ty niêm yết trên Nasdaq đặt cược kho bạc trị giá 220 triệu đô la
Token IP của Story Protocol đạt mức cao mới sau khi Heritage Distilling áp dụng nó cho chiến lược dự trữ ngân quỹ, điều này đã thu hút sự ủng hộ từ các tổ chức và làm tăng khối lượng giao dịch.
Metaplanet sẽ huy động 1,38 tỷ đô la để mua Bitcoin
Metaplanet sẽ huy động 13,9 tỷ USD thông qua việc phát hành cổ phiếu ở nước ngoài, trong đó 12,5 tỷ USD sẽ được phân bổ cho việc mua Bitcoin và 138 triệu USD cho các chiến lược tạo thu nhập, nhằm củng cố chiến lược kho bạc của mình trước sự suy yếu của đồng yên và các rủi ro lạm phát.
Chỉ số Altcoin tăng lên 71—Dấu hiệu cho đợt tăng giá lớn nhất năm 2025?
Chỉ số Altcoin Season tăng mạnh cùng với sự giảm sút về mức độ thống trị của Bitcoin cho thấy một đợt tăng giá của altcoin đang hình thành. Các nhà phân tích nhận thấy các mô hình tăng giá nhưng cảnh báo về các trò lừa đảo và định giá bị thổi phồng trên thị trường tháng 9.
Thịnh hành
ThêmGiá tiền điện tử
Thêm
