以太坊和Solana遭到攻击：几乎让所有人陷入的隐秘加密货币威胁

加密货币本周面临了一次严重的安全恐慌。Ledger的CTO，Charles Guillemet，透露了一次大规模供应链攻击，针对通过被攻陷的NPM包的JavaScript生态系统。这些包的下载次数超过了十亿次，引发了业内的警报。

恶意代码通过悄悄地动态交换加密货币钱包地址来工作。实际上，这意味着用户可能在没有意识到的情况下将资金发送到错误的钱包。根据Guillemet的说法，使用硬件钱包的人是安全的，因为他们可以在签名之前查看和验证最终交易。但依赖软件钱包或交易所的人则面临更大的风险。

攻击是如何发生的

攻击始于一封发送给开发者的钓鱼邮件。假冒的邮件伪装成来自npm的支持，欺骗受害者泄露凭证。这使攻击者能够发布恶意更新到广泛使用的包中。

注入的代码旨在钩住多个链上的加密货币活动，包括以太坊和索拉纳。它试图通过替换网络响应中的钱包地址来劫持交易。

幸运的是，攻击者犯了错误。恶意更新导致CI/CD管道崩溃，从而实现了早期检测。因此，这次攻击几乎没有造成任何受害者，失败了。尽管如此，它突显了软件世界中供应链的脆弱性。

这一事件显示出供应链被攻破的危险性有多大。即使一个开发者账户被攻破，也可能导致数百万用户的隐私暴露。对于加密货币持有者来说，这又一次提醒我们，存放在热钱包或交易所中的资金永远无法完全安全。

正如Guillemet所解释的：“如果你的资金放在软件钱包或交易所，你就只差一步代码执行就会失去一切。”

目前正在进行大规模供应链攻击：一位知名开发者的NPM账户已被攻陷。受影响的包已经被下载超过10亿次，这意味着整个JavaScript生态系统可能处于风险之中。恶意负载正在发挥作用…

— Charles Guillemet (@P3b7_) 2025 年 9 月 8 日

如何保持安全

每个人都可以采取一些步骤来保护自己：

尽量使用硬件钱包。像 Ledger 这样的硬件钱包旨在保护私钥安全，即使你的电脑受到攻击。

在签名之前检查每笔交易。即使使用硬件钱包，您也应该仔细阅读钱包地址、金额和网络，然后再进行批准。

警惕网络钓鱼邮件。大多数攻击始于社会工程学。永远不要点击可疑链接或分享凭据。

使用清晰签名功能。这让你可以在设备屏幕上清楚地看到你正在批准的内容，从而使攻击者更难欺骗你。

保持更新。关注钱包提供商和安全研究人员的官方警报。

这次攻击带来的直接危险已经过去，但威胁并未消失。供应链攻击仍然是传播恶意软件最有效的方式之一，攻击者只会变得更加具有创造性。

另请阅读：以下是XRP价格本周如何达到$3.60的方法

订阅我们的YouTube频道，获取每日加密货币更新、市场洞察和专家分析。

以太坊和索拉纳遭受攻击：几乎让所有人陷入困境的隐藏加密货币威胁首次出现在CaptainAltcoin。