本站消息,9 月 9 日,针对「NPM 供应链攻击」事件,OKX Wallet 表示,OKX 始终将系统安全置于首位,在产品研发与上线全流程中严格管控第三方组件使用风险。经内部核查与评估,OKX APP 基于安卓与 iOS 原生框架开发,不存在相关安全风险;OKX 插件、Web 应用及移动端 DApp 浏览器均未使用受影响版本的第三方组件,平台各项服务运行正常,用户可继续安心使用。
据悉,攻击者通过钓鱼邮件(伪装为 npmjs 支持)窃取了开发者 qix 的 NPM 账户凭证,进而向其发布的 18 个热门 JavaScript 包(包括 chalk、debug-js 等,周下载量超 20 亿次)注入恶意代码。此攻击被认为是史上最大规模的供应链攻击。
值得注意的是,该恶意代码并未尝试在本地环境植入木马或窃取文件,而是专门针对 Web3 场景:如果检测到浏览器环境中存在 window.ethereum,便会劫持交易请求。恶意代码通过篡改浏览器的 Ethereum 和 Solana 交易请求,将资金重定向至攻击者控制的地址(如以太坊地址 0xFc4a4858...),并通过替换 JSON 响应中的加密地址窃取资产。尽管页面显示正常交易地址,实际资金被转至攻击者地址。
编者按:当 AI 能力开始逼近通用工具的边界,网络安全的含义也在发生变化。它不再只是针对黑客、病毒或数据泄露的防御问题,而正在演变为一场能力不对称的博弈。随着 Anthropic 推出的 Claude Mythos 展现出接近顶级专家的漏洞...
编者按:近日,《The New York Times》发布长篇调查报道,重新追问一个困扰加密行业 17 年的问题:中本聪究竟是谁?不同于以往基于零散爆料或单一线索的猜测,这篇报道沿着 Cypherpunks 历史档案展开,通过技术路径、写作...
编者按:本文介绍了一种基于 Claude Code 与 Obsidian 搭建的个人知识系统,其核心不再是传统 RAG 模式下每次查询、临时检索的用法,而是尝试让 AI 持续构建并维护一个可演化的知识库(Wiki)。从结构上看,该系统可以拆...
编者按:从石器时代的威胁,到两周停火的迅速落地,这场围绕伊朗的冲突在短时间内经历了急剧转折。表面上看,局势降温、市场反弹,但更深层的结构性问题并未因此得到解决。一方面,Donald Trump 在政治与经济压力下选择下台阶,通过停火暂时缓解...
