Термінові новини: Криптофонди під загрозою через масштабну атаку на ланцюг постачання

Crypto Hack: Що сталося?

Широко використовуваний npm-пакет, error-ex, був скомпрометований у своєму релізі 1.3.3. Усередині нього був прихований заплутаний код, який активує два небезпечних режими атаки:

• Викрадення буфера обміну: Коли ви вставляєте адресу гаманця, шкідливе ПЗ непомітно підміняє її на адресу, схожу на адресу зловмисника.
• Перехоплення транзакцій: Якщо ви використовуєте браузерний гаманець, код може перехоплювати виклики транзакцій і змінювати адресу одержувача ще до того, як ви побачите екран підтвердження.

Це робить майже неможливим помітити підміну, якщо ви ретельно не перевіряєте кожен символ адреси, на яку відправляєте.

Хто під загрозою від цього Crypto Hack?

1. Розробники: Будь-який проєкт, що підтягує залежності без жорсткої фіксації версій, міг встановити заражену версію. Це може вплинути на CI-пайплайни, продакшн-збірки та додатки, які залежать від JavaScript.
2. Криптокористувачі: Шкідливе ПЗ націлене на основні активи, включаючи $BTC , $ETH, $SOL, $TRX, $LTC та $BCH. Під загрозою як користувачі буфера обміну, так і браузерних гаманців.
3. Платформи: Навіть централізовані додатки, що інтегрують npm-бібліотеки, могли несвідомо включити шкідливий код.

Які компанії постраждали?

Вже SwissBorg підтвердив злам, пов’язаний із скомпрометованим партнерським API. Приблизно 192.6K SOL (~$41.5M) було виведено під час атаки. Хоча сам додаток SwissBorg залишається безпечним, його SOL Earn Program постраждала, зачепивши менше 1% користувачів. Платформа пообіцяла заходи з відновлення, включаючи використання коштів казначейства та підтримку від white-hat хакерів.

Як захистити себе

Ось що потрібно зробити прямо зараз:

Для користувачів гаманців

✅ Завжди перевіряйте кожну транзакцію — перевіряйте повну адресу одержувача перед підписанням.
✅ Використовуйте апаратний гаманець із функцією чіткого підпису.
✅ Уникайте непотрібних розширень браузерних гаманців.
✅ Якщо щось здається підозрілим (неочікувані запити на підпис), негайно закрийте вкладку.

Для розробників

⚙️ Переведіть CI-збірки з npm install на npm ci для фіксації залежностей.
⚙️ Запустіть npm ls error-ex для виявлення заражених інсталяцій.
⚙️ Зафіксуйте безпечні версії (error-ex@1.3.2) і перегенеруйте lockfiles.
⚙️ Додайте сканери залежностей, такі як Snyk або Dependabot.
⚙️ Ставтеся до змін у package-lock з тією ж ретельністю, що й до code review.

Перспективи

Цей інцидент підкреслює крихкість ланцюгів постачання у Web3 та за його межами. Невеликий компроміс пакету може призвести до мільярдів завантажень, впливаючи як на розробників, так і на власників криптовалюти по всьому світу. Негайна небезпека полягає у атаках із підміною адрес, але ширша проблема — це те, наскільки глибоко це може проникнути у фінансову інфраструктуру.

На даний момент: перевіряйте перед підписом, фіксуйте свої залежності та не ігноруйте питання безпеки.