Portefeuille OKX: non affecté par les incidents de sécurité des composants tiers, l'application, le plug-in et le web peuvent être utilisés en toute sécurité
Source: Odaily
Heure: 2025-09-09 12:46:08
Odaily Planet Daily News En réponse à "l'attaque de la chaîne d'approvisionnement du NPM", OKX Wallet a déclaré que OKX met toujours la sécurité du système en premier et contrôle strictement le risque de composants tiers dans l'ensemble du processus de recherche et développement et de développement de produits. Après la vérification et l'évaluation internes, l'application OKX est développée en fonction du cadre natif d'Android et iOS et n'a pas de risques de sécurité connexes; Le plug-in, l'application Web et le navigateur DAPP mobile n'utilisent pas la version affectée des composants tiers, et les services de la plate-forme fonctionnent normalement, afin que les utilisateurs puissent continuer à l'utiliser avec la tranquillité d'esprit. Il est rapporté que l'attaquant a volé les informations d'identification du compte NPM du développeur du développeur via des e-mails de phishing (déguisé en support NPMJS) et injecté du code malveillant dans les 18 packages JavaScript populaires qu'il a publiés (y compris la craie, les débogues, etc., avec plus de 2 milliards de téléchargements par semaine). Cette attaque est considérée comme la plus grande attaque de la chaîne d'approvisionnement de tous les temps. Il convient de noter que le code malveillant n'essaie pas d'implanter des chevaux de Troie ou de voler des fichiers dans l'environnement local, mais est spécifiquement ciblé sur les scénarios Web 3: si Window.Ethereum est détecté dans l'environnement du navigateur, la demande de transaction sera détournée. Le code malveillant redirige les fonds vers une adresse contrôlée par l'attaquant (comme l'adresse Ethereum 0xfc4a4858 ...) en altérant les demandes de transaction Ethereum et Solana du navigateur, et vole des actifs en remplaçant l'adresse cryptée dans la réponse JSON. Bien que la page affiche l'adresse de trading normale, les fonds réels sont transférés à l'adresse de l'attaquant.