Атака NPM витрачає лише $500 вартості мем-монет

Нововідкритий атака на ланцюг постачання вразила лише кілька гаманців, вкрадаючи близько $500 в різних токенах. Впровадження шкідливого коду в пакети npm JavaScript виявило велику слабкість у використанні криптовалюти.

Цей атакувальний ланцюг постачання, який може висмоктати крипто-гаманець? Він не вкрав мільйони. Дивлячись на гаманці нападника, лише близько $500 активів зникло в перші 12 годин після виявлення. Не так вже й багато.

Користувачі отримали попередження зупинити відправлення криптовалюти. Це дещо безглуздо. Ви не можете просто призупинити глобальну бездозвільну систему. Усі очікували величезних збитків. Але цього не сталося.

Дані Arkham Intelligence показують, що нападник npm отримав лише 0,22 SOL та кілька мем-токенів вартістю близько 497 доларів. Криптопростір втратив набагато більше через інші протоколи вчора. Атака, в будь-якому випадку, здається небезпечною. Нам пощастило, що нападник не перехопив жодних великих транзакцій.

Напад на npm у постачальницькому ланцюгу нагадує попередні зломи

Ця атака відчувалася схожою на попередні великі зломи. Вона змінила гаманця призначення в останній момент. Поганий код потенційно міг перенаправити активи з сайтів, що використовують ці забруднені пакети JavaScript.

Люди, здається, не розуміють експлуатацію npm. Це як тоді, коли великі платформи втратили значні кошти через хакерів, які зламали інтерфейси користувачів. Код фронтенду на вебсайтах, які використовували шкідливі пакунки, скомпрометований. Тож обов'язково ретельно перевіряйте транзакції.

— Beanie (@beaniemaxi) 3 жовтня 2025 р.

Попередні злами мали навмисні, обмежені експлойти на фронт-енді. Ця npm річ? Вона вплинула на до 2B щотижневих завантажень. Але перші звіти вказують на обмежену шкоду. Не зовсім зрозуміло, чому.

Більшість великих платформ Web3 заявили, що їхній код безпечний. Торгівля продовжувалась. Вкрадені токени в основному були на Ethereum - мем-токени, такі як BRETT, DORKY, VISTA та GONDOLA. Жодного ETH не було взято.

Малі трейдери та постачальники ліквідності втратили кошти. Але не в великих обсягах. Самі додатки не були зламані. Ризик виник через те, що користувачі підписували транзакції, не перевіряючи їх належним чином.

Чи все ще є ризик для криптовалют від атаки npm?

Криптогаманці піддаються ризику атаки з боку постачальників. Завжди піддавалися. Потенціал крадіжки залежить від самих додатків і часу. Малий проміжок для експлуатації.

Приклади шкідливого коду були опубліковані всюди. Це, ймовірно, допомогло розробникам додатків залишатися в безпеці.

Атаки сталися після нових завантажень. Це означало, що вразливості потрапили лише в обмежену кількість крипто-додатків. Через кілька годин стало зрозуміло, що певні користувачі гаманців постраждали найбільше. Екосистема настільних гаманців не була під атакою.

Коли ми наближаємося до кінця 2025 року, меми- монети продовжують еволюціонувати, поєднуючи ностальгію, технології та гумор. Мем "Чи варто це того" здається особливо популярним, створюючи безліч крипто-токенів завдяки своєму вірусному впливу. Незважаючи на цю проблему безпеки, світ мем- монет залишається досить яскравим. Творці все ще використовують Imgflip та Image Resizer для створення контенту, який перетворюється на ідеї токенів.