Ledger首席技术官警告：JavaScript包漏洞致比特币地址被劫持

Ledger首席技术官查尔斯·吉列梅近日发出严重警告，指出部分JavaScript代码包已被植入恶意载荷，可能在用户不知情的情况下篡改加密货币地址，导致资金被盗。

漏洞根源：NPM生态链受袭

NPM作为全球最主流的JavaScript包管理平台，其生态系统一旦被攻破，将引发连锁反应。吉列梅在社交平台X上表示，攻击者通过入侵信誉良好的开发者账户，向公开发布的代码包中注入恶意脚本，从而实现远程操控。

攻击机制：动态地址替换

该恶意载荷的核心特征是能够在用户发起交易时，悄无声息地替换目标收款地址。例如，当用户准备向自己的钱包地址转账时，系统可能自动将其更改为攻击者控制的地址。这种行为完全隐藏在前端界面之下，极难察觉。

影响范围：超10亿次下载

据初步统计，受影响的代码包已被下载超过10亿次，涵盖大量Web3应用、钱包服务和去中心化平台。这意味着几乎所有使用JavaScript构建的区块链前端都可能面临风险，尤其对依赖外部库的Layer2解决方案构成威胁。

专家建议：警惕交易签名

软件开发人员Cygaar提醒广大用户，切勿随意签署未验证的加密交易请求。他强调，当前许多网站存在输入验证缺陷，攻击者可利用这些漏洞诱导用户授权非法转账。

市场反应与未来展望

此次事件引发市场对加密资产安全性的重新评估。分析师指出，尽管尚未出现大规模资金损失报告，但潜在风险已足以触发“价格显著波动”预警。随着更多项目方开始审查第三方依赖，行业或将加速推进代码审计与可信供应链建设。

目前，NPM官方已启动应急响应流程，排查并下架可疑包。同时，多家钱包服务商正在更新前端防护机制，以应对此类动态劫持攻击。未来，强化前端安全验证与引入零知识证明等技术，或将成为保障用户资产安全的关键方向。