昨天,加密货币世界遭受了严重的恐惧。一套广泛使用的开发人员工具中的安全漏洞在社交媒体上发出了一波恐慌,紧急警告告诉所有人只是停止进行交易一段时间。这是一个紧张的几个小时。
当安全公司Aikido的研究人员发现了问题时,问题就开始了。他们发现,NPM上的18个不同的软件包(开发人员使用的代码的关键存储库)已感染了恶意代码。这些不是晦涩的工具。我们谈论的是具有“粉笔”和“ Debug-js”之类的名称的常见包装。
网络钓鱼电子邮件如何引发混乱
维护这些包裹(在线称为QIX)的开发人员迅速确认了违规行为。用一封网络钓鱼电子邮件欺骗了他,用他的话说,“看上去非常合法”。那一封电子邮件就是授予攻击者访问的全部。滑入的代码被设计为偷偷摸摸。它将在用户的浏览器中悄悄拦截与加密货币相关的浏览器中的活动,然后重写交易详细信息,以将资金发送到攻击者控制的地址。为了使假地址不太明显,该代码甚至使用特定算法来选择与真实的算法相似的算法。这是一种复杂的方法,类似于我们以前见过的中毒骗局。
损失最小的主要警报
从理论上讲,这应该是一场彻底的灾难。安全联盟是一个区块链安全小组,后来指出了这些折衷的软件包,请参见“每周下载超过20亿美元”。他们称其为有史以来最大的供应链攻击。警告四处飞来反映了这种恐惧。但是随后发生了一件奇怪的事情。几乎没有钱被盗。
为什么?几个因素结合在一起,创建了攻击者称为“世代相传”的Samczsun称为“世代相传”。首先,包裹的恶意版本只有大约两个半小时。此外,正如0xngmi的Defillama背后的化名开发人员指出,最严重的软件项目“固定”其依赖性。这意味着他们不会自动使用最新更新;他们坚持已知的安全版本。因此,即使推开了更新,许多站点仍在运行旧的干净代码。
后果:解脱和嘲笑
一旦直接的危险过去,情绪从恐慌转变为嘲笑。链上的数据显示,攻击者的主要地址刚刚持有超过900美元,而ETH的总计大约有5美分直接被盗。有人在数据字段中发送了一笔交易,称黑客为“血腥的傻瓜”和“宽松”(SIC),因为他们设法实现了如此广泛的黑客攻击,但没有窃取任何有意义的东西。
但是安全社区并没有真正笑。他们普遍的感觉似乎是我们所有人都很幸运。现在关心的是,这种失败的尝试本质上为其他人提供了重新尝试的蓝图,但下次更有效地为其他人提供了蓝图。正如安全联盟所指出的那样,实际成本不是损失的资金,而是在无数小时的工程团队中努力做出回应。它是一个鲜明的,也许是免费,提醒人们将数字世界融合在一起的脆弱联系。
帖子视图: 94
关键词:
