Mua Crypto
Thanh toán bằng
USD
USD
Mua & Bán
HOT
Mua và bán tiền điện tử qua Apple Pay, thẻ, Google Pay, chuyển khoản ngân hàng, v.v.
P2P tiền (P2P)
0 Fees
Mua và bán tiền điện tử với đa dạng tùy chọn
Thẻ Gate
Thẻ thanh toán tiền điện tử, cho phép giao dịch toàn cầu liền mạch.
Thị trường
Giao dịch
Cơ bản
Nâng cao
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
tag
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
NEW
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
NEW
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Cộng đồng
Trung tâm
Gate Fun
Chia sẻ bài đăng của bạn và cập nhật thông tin về tiền điện tử và hơn thế nữa
Live
moments live
Livestream phân tích thịtrường mỗi ngày
Chat
Giao Lưu Với Các Nhà Giao Dịch Khác
Tin nhanh
Tin tức tiền điện tử mớinhất
Thêm
Khuyến mãi
Hướng dẫn cho người mới bắt đầu
giveaways
Trung tâm phần thưởng
Trung tâm
Mới nhất
Hot
Tin nhanh
Hồ sơ
CoinOceanNavigatorvip

Gần đây đã tiết lộ một loạt sự việc rất nguy hiểm — có người đã đăng tải trên npm 3 gói độc hại giả mạo thư viện Bitcoin (bitcoin-main-lib、bitcoin-lib-js、bip40), trước khi bị phát hiện và gỡ bỏ đã bị tải xuống hơn 3400 lần. Nghe có vẻ không lớn lắm về số lượng, nhưng hậu quả lại đủ để gây hoảng sợ.



Các gói này chứa Trojan NodeCordRAT, thực chất là "kẻ trộm" tài sản số, chủ yếu thực hiện các việc xấu sau: trực tiếp trộm thông tin đăng nhập trình duyệt Chrome, các loại API Token, và đặc biệt là có thể lấy toàn bộ khoá riêng và mnemonic của ví MetaMask. Một nhà phát triển bị nhiễm khi chạy các gói này, toàn bộ ví của họ như mở toang cánh cửa cho hacker.

Sự kiện này một lần nữa nhắc nhở mọi người rằng an ninh chuỗi cung ứng của các gói npm không thể xem nhẹ. Các nhà phát triển khi lấy dependency cần cẩn trọng hơn, tốt nhất là kiểm tra nguồn gốc và đánh giá của các gói lạ hoặc có tần suất cập nhật bất thường. Đồng thời, đối với các công cụ nhạy cảm như MetaMask, Chrome — kiểm tra cài đặt quyền định kỳ và cẩn thận khi cài đặt plugin mới là cách an toàn nhất.
BTC1,88%
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • 8
  • Đăng lại
  • Retweed
Bình luận
0/400
just_vibin_onchainvip
· 01-11 18:22
Chết tiệt, hơn 3400 lần...phải có bao nhiêu người bị trúng đó --- npm cái này cần tự mở mắt ra, ai cũng có thể upload được --- Nếu private key bị đánh cắp là hết rồi, lần này thực sự khốc liệt --- Mỗi lần cài package đều phải xem commit history và thông tin tác giả, phiền lắm nhưng không có cách khác --- bitcoin-lib-js cái tên này đặt kiểu này, có ý định lừa những người không hiểu đó --- MetaMask phải kiểm tra quyền truy cập ngay, sợ quá --- Cuộc tấn công chuỗi cung ứng chuyện này sẽ không bao giờ chết, chỉ sẽ càng khôn lỏi hơn
Xem bản gốcTrả lời0
FarmHoppervip
· 01-11 14:17
Trời ơi, hơn 3400 lần tải xuống... Bao nhiêu người đã bị lừa rồi, chỉ nghĩ thôi đã thấy chân mềm rồi Chuỗi cung ứng thật sự khó phòng tránh, phải ngày ngày theo dõi những gói ma trên npm Tôi là người nhảy vọt trong nông trại.
Xem bản gốcTrả lời0
TokenomicsTherapistvip
· 01-11 11:44
3400+ lượt tải xuống, có bao nhiêu người đã bị lừa rồi nhỉ --- Lại là vấn đề chuỗi cung ứng, npm thật sự trở thành chợ đen của hacker rồi --- Bị đánh cắp khóa riêng là xong, lần này chắc chắn ví của bạn đã bị xóa sạch --- Tôi đã nói rồi, đừng cài đặt các gói lạ, giờ thì sao rồi --- MetaMask nhanh chóng phát hành thông báo an toàn đi chứ, chuyện này lớn lắm rồi --- Tên bitcoin-lib nghe cũng khá ấn tượng, ai ngờ lại là một cái bẫy --- Có vẻ sau này cài đặt gói npm phải cẩn thận như cài phần mềm vậy --- Nếu bị lộ ra, nhà phát triển sẽ mất bao lâu mới dám tin vào các gói trên npm nữa --- NodeCordRAT? Tên này nghe cứ như là từ kho dữ liệu xã hội rồi
Xem bản gốcTrả lời0
NFTFreezervip
· 01-09 03:50
这尼玛,又是npm的烂事儿啊,防不胜防 3400多次 tải xuống, nghĩ đến thôi cũng sợ... phải kiểm tra lại những gói đã cài đặt Tôi cật lực, ngay cả khóa riêng của MetaMask cũng có thể bị đánh cắp? Thật là nguy hiểm npm thực sự nên kiểm duyệt chặt chẽ hơn, bây giờ ai cũng có thể đăng tải Lần sau nhất định phải xem lịch sử gửi gói và số lượt tải, không thể cài đặt những thứ lạ một cách tùy tiện Cuộc tấn công chuỗi cung ứng này thực sự xuất sắc, các nhà phát triển đều phải cẩn thận hơn
Xem bản gốcTrả lời0
FortuneTeller42vip
· 01-09 03:49
天哪,3400多次?这得有多少钱包在裸奔啊... --- npm现在防线也这么脆?怪不得我现在啥都得自己审一遍 --- 又是冒充知名库这套,得了,以后都得查checksum了 --- Tôi chỉ muốn biết những người đã tải xuống 3400 lần này giờ ra sao rồi, có ai phát hiện bị đánh cắp chưa --- MetaMask private key bị lấy cắp trực tiếp... còn hiểm hơn cả xã hội đen, những anh em bị dính có lẽ sẽ khóc thảm trong nhà vệ sinh --- Tại sao mỗi lần đều phải xảy ra chuyện mới nghĩ đến an toàn, thật sự không thể chịu nổi --- Đây chính là lý do tại sao tôi không bao giờ tin tưởng các gói lạ, chỉ cần xem đánh giá và thời gian cập nhật là đủ --- Nhắc nhở nghiêm túc, nhưng thành thật mà nói đa số mọi người vẫn cài đặt lung tung, biết để làm gì --- Hệ sinh thái nodejs sao lại nhiều "giả mạo" thế, những người duy trì chắc mệt lắm --- Không xảy ra chuyện thì không học được cách ngoan, cứ lặp đi lặp lại đúng không
Xem bản gốcTrả lời0
BlockchainTherapistvip
· 01-09 03:34
3400 lần tải không nhiều nhưng thật sự đáng sợ, biết bao nhiêu ví người dùng sẽ bị bùng nổ... --- Phần npm thật sự cần phải cẩn thận hơn, ai biết được package nào là bẫy mật ong --- Việc bị đánh cắp khóa riêng của MetaMask thật sự làm tôi lo lắng, còn phải định kỳ kiểm tra an ninh --- Về an toàn chuỗi cung ứng, web3 vẫn chưa thực sự giải quyết được, tải package cứ như mở hộp quà bí ẩn --- Sao cứ mỗi lần lại như vậy, nhà phát triển quá cẩu thả rồi --- Tên của bitcoin-main-lib thật là mánh khóe, phải xem kỹ nguồn gốc mới yên tâm --- Việc chứng chỉ Chrome bị đánh cắp còn chưa kể, phần MetaMask mới là nguy hiểm trực tiếp
Xem bản gốcTrả lời0
NeonCollectorvip
· 01-09 03:32
3400 lần tải xuống? Thật sao, có bao nhiêu người đã bị lừa rồi... npm bây giờ phòng thủ lỏng lẻo như vậy sao
Xem bản gốcTrả lời0
TokenRationEatervip
· 01-09 03:30
3400 lần tải xuống nghe có vẻ không nhiều, nhưng chỉ cần trúng một lần là toàn bộ đều hỏng đó --- npm càng ngày càng đục nước bây giờ, thời này có gói nào cũng dám đẩy lên --- Tôi chỉ muốn biết bọn này suy nghĩ kiểu gì, thực sự tưởng có thể lừa trời qua biển à? --- MetaMask còn có thể ăn cắp khóa riêng tư, cái này tệ hơn cả lừa tiền thẳng tay --- Lại là vấn đề chuỗi cung ứng, các nhà phát triển phải nhớ bài học này --- 3400 nhà phát triển tâm lý đánh bạc quá mạnh mà, gói lạ cũng dám xài --- Kiểu tấn công này thực sự rất khó phòng chống, chỉ có thể thận trọng từng chút một --- Đã nói rồi, cơ chế kiểm duyệt của npm là hình thức suông, hóa ra đúng là gặp chuyện rồi --- Khóa riêng tư lộ ra tức là chết xã hội, chuyện này phải suy ngẫm sâu sắc đó --- Cảm giác bảo mật web3 cứ mãi trong tình trạng cứu hỏa, chẳng có cách nào giải quyết
Xem bản gốcTrả lời0

  • Ghim

sơ đồ trang web