#供应链攻击

avatar
蓝点网
3周前
周下载量超过 20 亿次的 18 个 NPM 包被投毒,开发者被钓鱼后泄露关键凭证,随后黑客发起供应链攻击。黑客的目的是利用恶意代码篡改浏览器事务,从而窃取加密货币,例如当用户发送 ETH 给 A 地址,虽然浏览器仍然显示 A 地址,但实际上加密货币会被发送到黑客控制的 B 地址:
#NPM包投毒 #供应链攻击 #加密货币窃取 #黑客攻击 #恶意代码
avatar
blanker
3周前
npm里几个非常出名的库被供应链攻击了,用浏览器发交易有可能交易被劫持,建议用硬件钱包+检查to address
#npm #供应链攻击 #交易劫持 #硬件钱包 #安全建议
avatar
Baye
1个月前
大家如何在终端中安全的管理 secrets?我需要让各种 cli 能访问我的 API Key,但又要防止供应链攻击。 用环境变量太不安全了,GitHub 刚刚给我发了一个安全警报,我一个项目受到了供应链攻击,一个知名的开源项目会偷环境变量中的 API Key。
#API Key安全 #供应链攻击 #环境变量风险 #cli secrets管理
avatar
看来真相出来了,Safe 最终还是被攻陷了,确实智能合约部分没问题(链上很容易验证),但前端被篡改伪造达到欺骗效果。至于为什么被篡改,等 Safe 官方的细节披露… Safe 这种算是一种安全基础设施了,理论上所有用这个多签钱包的人都可能会类似 Bybit 这样被盗。 细思恐极的是,所有其它带前端、API 等用户交互服务的都可能会有这种风险。这也是一种经典的供应链攻击。 巨额/大额资产的安全管理模型需要有一次大升级。
#safe #智能合约 #前端篡改 #欺骗效果 #多签钱包 #Bybit #被盗 #供应链攻击 #大额资产 #安全基础设施