刚刚听说了被称为“史上最大规模”的供应链黑客攻击 黑客通过钓鱼拿下了 NPM 热门包维护者的账号，把恶意代码植入到下载量巨大的开源依赖中（比如 chalk、debug、ansi-styles 等），这些包一周的下载量就有 20 亿次。 恶意脚本会在浏览器里拦截加密货币交易，把原本的收款地址替换成攻击者的钱包地址，直接实现资金劫持。 小伙伴们在交易的时候一定要注意逐笔确认硬件钱包签名的交易接收地址，并且提醒尽量不要用 web 前端去做链上操作，至少等到受影响的 NPM 包都彻底清理、补丁发布之后再使用。 如果使用的是非硬件钱包则要更加小心。 这类供应链攻击不再是针对个别应用，而是直接切断整个开发者生态链路，影响范围极广，很多 DApp 或交易服务只要调用了受污染的库都有风险。 本文由 #Bitget ｜ @Bitget_zh 赞助(Phyrex)