突發新聞：加密貨幣基金面臨大規模供應鏈攻擊風險

加密貨幣駭客攻擊：發生了什麼事？

一個被廣泛使用的 npm 套件 error-ex，在其1.3.3 版本中被植入了惡意程式碼。隱藏其中的混淆程式碼會啟動兩種危險的攻擊模式：

• 剪貼簿劫持：當你貼上錢包地址時，惡意軟體會悄悄將其替換為攻擊者的相似地址。
• 交易攔截：如果你使用瀏覽器錢包，該程式碼可以攔截交易呼叫，並在你看到確認畫面之前更改收款人的地址。

這使得除非你仔細檢查每一個地址字元，否則幾乎不可能發現異常。

誰會受到這次加密貨幣駭客攻擊的威脅？

1. 開發者：任何在拉取依賴時未嚴格鎖定版本的專案，都可能安裝了受感染的版本。這可能影響CI 流程、正式環境建置以及依賴 JavaScript 的應用程式。
2. 加密貨幣用戶：該惡意軟體針對主要資產，包括 $BTC、$ETH、$SOL、$TRX、$LTC 和 $BCH。無論是剪貼簿用戶還是瀏覽器錢包用戶都存在風險。
3. 平台：即使是整合 npm 函式庫的中心化應用，也可能在不知情的情況下包含了惡意程式碼。

哪些公司受到影響？

目前，SwissBorg 已確認因合作夥伴 API 遭到入侵而發生資安事件。大約192,600 SOL（約 4,150 萬美元）在此次攻擊中被盜。雖然 SwissBorg 應用本身仍然安全，但其SOL Earn Program受到影響，影響用戶不到 1%。該平台已承諾採取恢復措施，包括動用金庫資金及獲得白帽駭客的協助。

如何保護自己

你現在需要做的是：

錢包用戶請注意

✅ 每次交易都要核對——在簽署前檢查完整收款地址。
✅ 使用啟用明確簽署功能的硬體錢包。
✅ 避免安裝不必要的瀏覽器錢包擴充套件。
✅ 如果遇到異常（如意外的簽署請求），請立即關閉分頁。

開發者請注意

⚙️ 將 CI 建置從 npm install 改為 npm ci，以鎖定依賴版本。
⚙️ 執行 npm ls error-ex 以偵測受感染的安裝。
⚙️ 鎖定安全版本（error-ex@1.3.2）並重新生成 lockfile。
⚙️ 加入像 Snyk 或 Dependabot 這類依賴掃描工具。
⚙️ 對 package-lock 的變更要像審查程式碼一樣嚴格。

展望

這起事件凸顯了Web3 及更廣泛供應鏈的脆弱性。一個小小的套件被攻陷，就可能導致數十億次下載，波及全球開發者與加密貨幣持有者。當前最直接的威脅是地址置換攻擊，但更廣泛的隱憂在於這種攻擊可能深入金融基礎設施。

目前：簽署前務必檢查、鎖定依賴版本，切勿忽視安全細節。