NPM攻撃がミームコインをほぼ無傷のまま残す

2025年10月6日

npmのJavaScriptパッケージに対する供給チェーン攻撃？思ったほど深刻ではなかった。ウォレットから約$500 相当のミームコインが盗まれただけだった。かなり驚きだ。誰かが脆弱性を発見してから最初の12時間の間、全体が驚くほど抑えられていた。

ユーザーはすぐに暗号取引を停止するようにというパニックを引き起こす警告を受け取りました。しかし、人々はそれでも取引を続けました。それが暗号です。Arkham Intelligenceのデータを見ると、攻撃者はわずか0.22 SOLと約497ドル相当のランダムなミームトークンを持ち去りました。小さな額です。他のプロトコルは同じ期間中にもっと多くを失いましたが、この攻撃はどのように起こったか、何を盗んだかという点で注目を集めました。

攻撃プレイブックは親しみを感じる

このnpmのこと？以前のフロントエンドの悪用を思い出させるようなものです。トランザクションが行われているときに、宛先ウォレットアドレスを弄んでいました。あまり良くありません。

悪いJavaScriptコードは、侵害されたパッケージを使用しているウェブサイトからの情報をリダイレクトする可能性があります。ひどい事態です。

あるアナリストは率直にこう述べた: "この脆弱性は、これらのパッケージを使用しているウェブサイトのフロントエンドコードをハイジャックします。" 取引は必ず確認してください！標的型攻撃とは異なり、これにより最大20億の週次ダウンロードに影響を与える可能性があります。しかし、現時点では影響は最小限のようです。奇妙です。

ほとんどの大手Web3プラットフォームは危機を回避しました。彼らのコードはクリーンなままでした。取引は続行されました。盗まれたトークンは？主にBRETT、DORKY、VISTA、GONDOLAのようなEthereumミームコインです。直接ETHは持ち去られませんでした。主に小規模なトレーダーと流動性提供者が影響を受け、アプリ自体は影響を受けませんでした。

この「ベースド」という話は何ですか？

SNS全体で、暗号通貨に関わる人々はこのものを見つけたセキュリティ研究者を「ベースド」と呼び続けました。このスラングが暗号通貨のサークルでこれほど強く定着した理由は完全には明らかではありませんが、ここでは特別な意味があるようです。

今日のインターネット用語、特に暗号通貨の人々の間では、「ベースド」というのは、他の人が何と言おうと自分で考えることを意味します。自分の信念を貫くことについてです。

その言葉はかつて薬に関する侮辱でした。それからラッパーのLil Bがそれをポジティブな意味にひっくり返しました。今、クリプト界では誰かを「based」と呼ぶことは基本的に最高の賛辞です。彼らが群衆に従わないと言っているのです。

重要なセキュリティ情報

暗号ウォレットは、これらのサプライチェーン攻撃に対してある程度脆弱です。しかし、どれほど悪影響を受けるかは、アプリやタイミングに依存します。良いニュースは？悪意のあるコードサンプルを公開することで、開発者が同様の問題を見つけるのに役立った可能性があります。

新しいダウンロードのみがターゲットにされたため、影響を受けた暗号アプリケーションはわずかでした。MetaMaskのユーザーが最も危険にさらされているようでした。デスクトップウォレット？ほとんど安全でした。運が良かった。