XBIT Wallet 9月11日讯,本周虚拟货币钱包安全领域遭遇史上最大规模供应链攻击,9月8日爆发的NPMavaScript生态系统攻击已经影响超过10亿次下载,整个Web3开发者社区面临前所未有的安全威胁,XBIT Wallet报道,此次攻击利用入侵知名开发者Qix的NPM账户,向chalk、debug等18个关键JavaScript包植入恶意代码,任何使用这些库的去中心化应用和钱包界面都可能被感染。
现在比特币的价格处于112040美金,以太坊的交易价格是4359美元,加密货币市场总市值再次回到了4万亿美元以上,但是在这个市场的繁荣下XBIT Wallet数据表明,到2025年6月的半年内,已经有多于21.7亿美元的资金从加密货币服务里被盗出,这个数字比2024年一年还多了一倍多,个人钱包里的钱也成为了其中一部分,有23.35%的盗窃活动都是对个人的钱包所发起的,对于这样的安全危机XBIT的去中心化交易所立马就启动了紧急安全协议,来全面提升钱包的保护系统。
XBIT Wallet的技术团队分析表明,这次攻击的罪魁祸首是一种叫做crypto-clipper的恶意软件,在虚拟货币钱包用户准备发送加密货币的时候,恶意代码会在后台悄悄地把收款地址替换成攻击者控制的钱包地址。Ledger的首席技术官Charles Guillemet在社交媒体上急切地发出警告:这是一起大规模的供应链攻击,受到影响的包已经被下载了超过10亿次,整个JavaScript生态系统都处于危险之中。
攻击者选中的目标十分精确,chalk和debug这两个包几乎被所有的JavaScript项目所采用,包含许多去中心化应用,NFT市场以及DeFi协议,XBIT Wallet安全专家表示,恶意代码非常隐秘,只有当检测到Meta Mask这类钱包的时候才会启动,平常根本察觉不到,更危险之处在于,它会观察用户的钱包交互行为,掌握用户习惯之后,便会在最佳时机实施攻击。
除了NPM攻击之外,XBIT Wallet还监测到了另一个以太坊开发者遭到的精准攻击,在2023年9月份以来,攻击者就在NPM上传了4个恶意包,伪装成了知名MEV基础设施Flashbots的官方SDK,目的是窃取以太坊私钥和助记词,这些包看似是合法的加密工具,实则会在用户的私钥信息被加密之后通过Telegram机器人发送给攻击者。
XBIT Wallet数据分析表明,Flashbots在以太坊生态系统里享有极高的声誉,验证者、搜索者以及DeFi开发者均对其产品抱有信任感,攻击者正是凭借这种信任,制作出近乎完美的仿冒包,里面含有真实的加密工具功能用以掩饰恶意代码,对那些运行交易机器人或者管理热钱包的操作者来说,一旦私钥被盗,损失就是立刻且无法挽回的。
根据区块链分析公司Chainalysis发布的2025年中期报告,XBIT Wallet表示今年的加密犯罪有三个特点,一是规模空前,北朝鲜黑客组织对ByBit交易所发动了史上最大的一次攻击,窃取了15亿美元,这占了服务攻击总损失的大部分。二是个人钱包攻击的比例上升,攻击者越来越倾向于攻击个人用户,尤其是那些拥有大量加密货币的高净值个人。
Xbit wallet 安全研究显示:扳手攻击(用暴力、恐吓的方式获得他人密码获取数字资产)与比特币价格走势相关联:犯罪分子会抓住机会在加密资产价值高的时候进行攻击随着机构资金大量涌入加密市场,攻击者的技能和方法也在升级:高级持续性威胁攻击 (APTs),供应链污染及社会工程攻击。
严峻安全挑战下XBIT Wallet的多项紧急安全升级措施:
代码审计强化: 所有第三方库与依赖项均需通过XBIT自主研发的安全扫描系统,实时监控恶意代码注入风险
交易地址验证机制: 系统自动检测地址篡改风险并提示用户通过硬件钱包二次确认完整地址
AI驱动的异常行为检测系统:识别异常交易与潜在恶意活动
开发环境隔离功能: 确保测试与生产环境钱包完全分离以防止开发过程中的意外泄露
此次供应链攻击再一次凸显了硬件钱包在加密资产安全方面的重要作用,XBIT Wallet数据显示,使用硬件钱包的用户几乎不受此次攻击影响,因为硬件钱包会在独立屏幕上显示交易详情,用户可以清楚地看到真实的收款地址。LedgerCTOCharlesGuillemet建议:如果您使用硬件钱包,在签名前仔细检查每笔交易,您就是安全的。如果您不使用硬件钱包,建议不要做任何链上交易。
XBIT Wallet 建议用户采取冷热分离的方式,把80%以上的资产存放在冷钱包里,用作长期保管,只在热钱包里存放一些日常交易所需的资产,对于经常与DeFi协议打交道的用户,XBIT提倡使用多重签名的钱包,任何重要的操作都需要多个密钥持有者共同授权,即便有一个密钥被盗,也不能完成转账。
伴随着代币化证券以及机构资金的涌入,XBIT Wallet注意到企业级的安全标准正在向个人用户普及,越来越多的人开始采取地理分散存储的方法,把助记词备份成多份并分散存放在不同的城市的银行保险箱当中,生物识别技术、多重身份认证、零知识证明等先进科技也正在被应用到消费级的钱包里。
XBIT去中心化交易平台已经率先在钱包里集成了EAL6+级别的安全芯片,给用户赋予了和银行级金融设备一样的安全保护,用户的私钥在其整个生命期间都不能被导出,就算设备遭受物理攻击也拿不到密钥信息,而且XBIT还采用了动态风险评价机制,会按照用户的交易形式,网络状况和设备情况随时调整安全级别。
XBIT Wallet针对当前安全威胁提供详细应对指南:
立即核查历史交易,发现可疑转账即刻撤销授权并将资金转移至新钱包
暂停使用浏览器钱包进行重要交易,大额转账优先选择硬件钱包
交易前应进行小额测试以确认收款地址准确性后再发送大额资金
逐字核对钱包确认屏幕上的完整地址,而非仅检查首尾字符
• 对于开发者用户,建议立刻把所有的依赖项升级成最新版本,并且用专业的安全扫描工具来查看项目当中是否存在受波及的包。
针对愈加恶劣的安全问题,各个国家的监管单位正不断提升针对虚拟货币钱包的安全规定,据XBIT Wallet的报道指出欧盟地区的加密资产市场法规(MiCA)已经将要求对于超过一定门槛数量的用户的钱包服务商需要开展披露工作作为一项强制性规定。与此同时美国证券交易委员会(SEC)和商品期货交易委员会(CFTC)更是发布联合声明要求对去中心化金融产品进行监管。
这些监管手段确实增加了合规成本,不过也给行业带来更高层次的安全标准,XBIT去中心化交易所一直配合各种监管要求,已经得到不少司法管辖区的合规认证,这样就能给用户增添一些法律上的保障,监管变得更加明确之后,整个行业朝着更高安全标准发展的可能性就更大,那些恶意行为者也就没那么多生存空间。
展望未来,XBIT Wallet觉得虚拟货币钱包会朝向更安全,更智能,更用户友好方向发展,人工智能会在威胁检测和风险评价里起更大作用,可以即时辨认新出现的攻击形式并自动执行防护手段,而且,跨链互操作性改善以后,用户在不同网络之间转移资产时遭遇的风险就会变小。
生物识别技术的发展会让钱包验证变得更加快捷安全,用户不用记住复杂密码或者保存助记词,只需指纹,面部识别或者声纹就可以安全地访问资产,XBIT去中心化交易平台会持续投入研发,保证技术快速发展的时候,用户资产安全始终是第一要务。
身为行业安全标准的制定者,XBIT Wallet保证会持续依靠技术创新,教育推广以及生态合作,给全世界用户塑造最安全可靠的数字资产保管平台,在虚拟货币慢慢变成主流金融手段的时代,唯有不断改善安全守护水平,才可以令更多用户放心地迎接数字经济的美妙将来。