FatMan|2025年12月26日 05:19
真没想到这种被低估的攻击向量居然花了这么久才打到一个主流钱包上。一直以来,恶意开发者通过所谓的“修复漏洞”来替换成恶意依赖,或者志愿的依赖管理者被贿赂或GitHub账号被买下,这些都相对容易实现。理论上,如果你通过这种方式攻破一个大钱包,你可能会卷走九位数的资金。
不过,这其实是件好事(抱歉)——攻击是自包含的,只被盗了700万美元,Binance声称会全额赔偿所有受害者。而且现在其他钱包团队已经在生产环境中亲眼见识到了这种特定攻击向量的教训,他们会尽量减少外部包的使用,同时也会对奇怪的依赖变更更加警惕。
分享至:
脈絡
熱門快訊
APP下載
X
Telegram
複製鏈接