新聞 
幣種資訊 
關於我們 
根據多家媒體報導,發生於 9 月 8 日(當地時間)的程式碼套件平台 npm 供應鏈攻擊事件,已被視為史上最嚴重的開源安全漏洞之一。針對此次事件,多間主流加密貨幣公司相繼做出回應,強調自身未受影響。包括以太坊擴容方案供應商 Polygon(MATIC)、硬體錢包廠商 Ledger 與 Trezor 均確認系統安全無虞,並呼籲用戶保持冷靜。
根據 Ledger 技術長 Charles Guillemet(查爾斯·吉耶梅)所揭露,事件源頭為一位知名 JavaScript 開發者的 npm 帳號遭駭,駭客進而上傳植入「剪貼板惡意程式」(Clipper Malware)的套件。該惡意程式會在背景竄改使用者複製至剪貼簿的加密貨幣地址,使資金轉向駭客控制的錢包地址。
針對此事件,Polygon 表示其主要架構,包括 Polygon PoS 與 AggLayer 完全未受波及,整體技術基礎架構運作正常。作為建立在以太坊虛擬機(EVM)之上的代表性第二層(Layer2)解決方案,Polygon 為數千項去中心化應用(dApps)與開發者所倚重,其安全性至關重要。
Ledger 亦發表聲明指出,自家裝置在整起事件中「從未處於風險之中」,並強調 Ledger 硬體錢包原先即設計有防範此類供應鏈攻擊的能力。另一方面,同為主流冷錢包業者的 Trezor 也透過社群平台聲明,平台軟體與裝置皆未受到影響,尤其 Trezor Suite 操作介面未被列為攻擊範圍。
評論:這次 npm 大規模滲透事件再次突顯去中心化世界中,看似無害的開放原始碼套件亦可能成為攻擊媒介。由於 JavaScript 是區塊鏈與 Web3 技術的核心語言之一,有安全專家推測本次受感染的套件可能被下載逾數十億次,進一步擴大攻擊規模,凸顯「供應鏈安全」在加密產業中的重要性。
專家建議,使用者在進行鏈上操作時,應提高警覺,務必仔細比對接收地址、多次確認交易細節,並避免在不明來源網站或錢包中授權敏感操作,以防惡意合約執行風險。
本起事件被喻為「加密產業史上最大規模供應鏈攻擊」,成為強調「個人安全意識」必要性的重大案例,也進一步呼籲產業相關機構加強對開源工具的依賴管理與安全審查。
留言 0