研究人員表示,npm 和 PyPI 存儲庫中發布的開源包配備了從 dYdX 開發人員、後端系統、在某些情況下從後門設備竊取錢包憑證的代碼。
“每個使用受損 npm 版本的應用程序都容易受到攻擊……”安全公司 Socket 的研究人員周五表示。 “直接影響包括全面的錢包黑客攻擊和不可逆轉的加密貨幣盜竊。攻擊範圍包括基於受損版本的所有應用程序以及測試真實憑證的開發人員和生產最終用戶。”
受影響的軟件包有:
NBM(@dydxprotocol/v4-client-js):
- 3.4.1
- 1.22.1
- 1.15.2
- 1.0.31
再見(dydx-v4-客戶端):
永久交易,永久瞄準
dYdX 是一家去中心化衍生品交易所,支持數百個市場的“永續交易”,即使用加密貨幣押注衍生品期貨的價值會上漲或下跌。 Sockett 表示,dYdX 在其生命週期內處理了超過 1.5 萬億美元的交易量,平均交易量在 2 億至 5.4 億美元之間,未平倉合約約為 1.75 億美元。該交易所提供的代碼庫允許第三方實現交易機器人、自動化策略或後端服務,所有這些都處理助記詞或私鑰以進行簽名。
npm 惡意軟件已將惡意功能集成到合法包中。當處理支持錢包安全的助記詞時,該函數會輸出它以及運行應用程序的設備的指紋。指紋允許威脅行為者鏈接被盜的憑據,以跨多個妥協跟踪受害者。接收種子的域是 dydx(.)priceoracle(.) 站點,該站點通過誤植模仿 dydx(.)xyz 中的合法 dYdX 服務。
發布日期: 2026-02-06 22:16:00
來源連結: arstechnica.com
