OKX Wallet回应NPM供应链攻击事件:平台零风险,用户资产安全无忧
9月9日,针对近期引起广泛关注的「NPM供应链攻击」事件,OKX Wallet发布官方声明,强调其始终将系统安全置于首位,并在产品研发与上线全流程中实施严格的第三方组件使用风险管控机制。
经内部全面核查与评估,OKX确认:
• OKX APP基于安卓与iOS原生框架开发,未涉及相关第三方组件,不存在任何相关安全风险;
• OKX插件、Web应用及移动端DApp浏览器均未使用受影响版本的第三方依赖,平台各项服务运行正常,用户可继续安心使用。
事件背景:史上最大规模供应链攻击,针对Web3用户发起交易劫持
据悉,此次攻击源于攻击者通过钓鱼邮件(伪装成npmjs官方支持)成功窃取开发者“qix”的NPM账户凭证,随后向其发布的18个热门JavaScript包(包括chalk、debug-js等,周下载量超20亿次)注入恶意代码,被行业认为是史上最大规模的供应链攻击之一。
值得注意的是,该恶意代码并未尝试在本地植入木马或窃取文件,而是专门针对Web3场景发起攻击:一旦检测到浏览器环境中存在 window.ethereum 对象,便会自动劫持用户的交易请求。
攻击手法包括:篡改Ethereum及Solana的交易请求,将资金重定向至攻击者控制的地址(如以太坊地址0xFc4a4858...),并通过替换JSON响应中的加密地址实现资产窃取。尽管用户在页面上仍看到正常交易地址,实际资金已被转移至攻击者钱包。
对投资者的影响:
• 增强安全信任:OKX的快速响应与零风险声明有助于稳定投资者信心,体现其系统架构的独立性与安全性;
• 警惕依赖风险:此次事件提醒投资者关注项目方的技术供应链管理水平,优先选择具备自主开发与严格组件审计能力的平台;
• Web3安全意识提升:投资者需更谨慎审查交易地址与浏览器扩展组件,避免因第三方依赖漏洞导致资产损失;
• 行业影响积极:OKX等主流平台的安全表现,或推动行业进一步重视供应链安全,长期有利于Web3生态的健康发展与机构资金流入。
