Атака NPM залишила мем-коїни майже недоторканими

6 жовтня 2025

Атака на ланцюг постачання на пакунках npm JavaScript? Це було не так погано, як могло бути. Лише приблизно $500 вартості мем-коінів було викрадено з гаманців. Досить несподівано. Усе це залишалося дивовижно контрольованим протягом перших 12 годин після того, як хтось помітив вразливість.

Користувачі отримали панічні попередження про те, щоб негайно зупинити криптографічні транзакції. Але люди все одно продовжували торгувати. Ось що таке крипто. Дивлячись на дані Arkham Intelligence, атакуючий забрав лише 0,22 SOL та випадковий набір мем-токенів вартістю близько 497 доларів. Невелика сума. Інші протоколи втратили набагато більше в цей же період, хоча ця атака все ж викликала подив через спосіб, яким це сталося, а не через те, що було вкрадено.

План атаки виглядає знайомо

Це npm справа? Нагадує про ранні експлоїти на фронтенді. Вона торкалася адрес гаманців призначення в той момент, коли відбувалися транзакції. Не дуже добре.

Поганий код JavaScript міг перенаправляти дані з веб-сайтів, які використовують ці скомпрометовані пакунки. Неприємна справа.

Один аналітик висловився прямо: "Експлойт захоплює фронтальний код на вебсайтах, які використовували ці пакети." Завжди перевіряйте свої транзакції! На відміну від цілеспрямованих атак, ця могла торкнутися до 2 мільярдів щотижневих завантажень. Проте вплив поки що здається мінімальним. Дивно.

Більшість великих платформ Web3 уникнули проблем. Їхній код залишився чистим. Торгівля продовжувалася. Вкрадені токени? Переважно мем-токени Ethereum, такі як BRETT, DORKY, VISTA та GONDOLA. Прямо ETH не було вкрадено. В основному постраждали менші трейдери та постачальники ліквідності, а не самі програми.

Що з усіма цими розмовами про "Based"?

У всіх соціальних мережах криптофахівці продовжували називати дослідників безпеки, які знайшли цю річ, «базовими». Не зовсім зрозуміло, чому цей сленг так сильно прижився в криптокругах, але, здається, він має особливе значення тут.

У сучасній інтернет-мові, особливо серед крипто-людей, бути "базовим" означає думати самостійно, незалежно від того, що кажуть інші. Це про те, щоб дотримуватися своїх переконань.

Слово колись було образою щодо наркотиків. Потім репер Lil B змінив його значення на щось позитивне. Тепер у криптосвіті називати когось "based" - це фактично найвища похвала. Ви кажете, що вони не слідують за натовпом.

Безпекові речі, які мають значення

Криптогаманці залишаються дещо вразливими до цих атак на ланцюг постачання. Але наскільки сильно вони вражають, залежить від додатків і часу. Добра новина? Публікація цих зразків шкідливого коду, ймовірно, допомогла розробникам виявити подібні проблеми.

Оскільки під ударами опинилися лише нові завантаження, лише кілька крипто-додатків відчули будь-який вплив. Користувачі MetaMask, здається, були найбільш уразливими. Десктопні гаманці? Вони в основному залишилися в безпеці. Щасливий випадок.