Как оставаться в безопасности, если вы используете MetaMask, Phantom, Trust или любой криптовалютный кошелек от атаки NPM

Новая кибератака привела в состояние тревоги миллионы пользователей криптовалют, после того как хакеры внедрили вредоносный код в NPM, программный реестр, который обеспечивает работу тысяч приложений и веб-сайтов, включая многие, связанные с криптокошельками.

Что такое NPM?

Для недевелоперов NPM (Node Package Manager) похож на гигантскую библиотеку бесплатных строительных блоков, которые разработчики программного обеспечения используют для создания приложений. Каждый раз, когда вы взаимодействуете с расширением кошелька, таким как MetaMask, или с DeFi панелью, вероятно, какая-то часть его кода берется из NPM.

Проблема в том, что если злоумышленники внедрят вредоносное ПО в один из этих строительных блоков, оно может распространиться на тысячи приложений, не вызывая подозрений у пользователей. С более чем 2 миллиардами загрузок каждую неделю NPM является основой интернета и основной мишенью.

Еще новости:

• Еще одна биржа взломана на $40M
• Самый большой детектив криптовалют задает 10 шокирующих вопросов о взломах
• Взлом Bybit был схож с инцидентом WazirX, сообщают источники

Как работает атака

Разработчики сначала заметили, что что-то не так, когда сборки кода начали завершаться с ошибками. Исследователь StarPlatinum объяснил:

«Разработчики сначала заметили странные ошибки сборки, такие как fetch не определен. Когда они проверили код, они обнаружили сильное затенение, скрывающее функции, такие как checkethereumw. Явный признак того, что это нацелено на криптовалюту.»

Оказавшись внутри, вредоносное ПО имело два трюка. Как подробно описала Минал Тукрал:

**“Малварь использует два сложных метода:
– Кража буфера обмена: Когда вы вставляете адрес кошелька, он незаметно заменяется похожим адресом злоумышленника, что делает его крайне трудно отличимым. – Перехват транзакций: Он напрямую подключается к функциям вашего кошелька. Когда вы собираетесь подписать транзакцию, он меняет адрес получателя в фоновом режиме еще до того, как появится запрос на подтверждение.

Вы можете подумать, что отправляете монеты другу, но вредоносное ПО может тихо перенаправить их хакеру.

На данный момент были идентифицированы кошелек Ethereum атакующего и несколько резервных копий, и похищенные средства не были перемещены. Но тот факт, что код работал в приложениях с миллиардами загрузок, подорвал доверие.

sol.engineer подытожил:

“Этот код работает в фоновом режиме в приложениях с миллиардами загрузок каждую неделю. Даже крупные компании полагаются на него. Это означает: любая платформа Solana, любой кошелек и многое другое могут быть затронуты.”

Что пользователи кошельков должны делать сейчас

Первый шаг — это замедлиться. Многие пользователи криптовалюты проверяют только первые и последние несколько цифр адресов кошельков при отправке денег, но именно это и используют злоумышленники.

Как предупреждал sol.engineer:

"Дважды проверьте каждый адрес перед отправкой, замедлитесь и проверьте каждый символ (, а не только первый/последний 4)."

История продолжается Для пользователей MetaMask, Phantom или Trust Wallet это означает внимательно читать полный адрес на экране подтверждения перед тем, как нажать отправить.

Аппаратные кошельки, такие как Ledger или Trezor, добавляют дополнительный уровень защиты. Поскольку они отображают детали транзакции на отдельном устройстве, даже если вредоносное ПО вмешивается в ваш компьютер или телефон, аппаратный кошелек показывает настоящий адрес перед тем, как вы подтвердите.

Минал Тукрал выразилась прямо:

«Ваш экран окончательного подтверждения — это ваша последняя линия защиты. Вы должны тщательно проверить каждый символ адреса получателя в вашем кошельке или на экране вашего аппаратного кошелька перед тем, как одобрить любую транзакцию.»

Что вам следует делать?

Этот инцидент был быстро зафиксирован, но он показывает, насколько уязвим крипто может быть, когда инструменты, на которые полагаются разработчики, скомпрометированы. Для обычных пользователей лучшими защитами являются бдительность и защита оборудования.

StarPlatinum сделал последнее напоминание:

«На этот раз сообщество быстро отреагировало. Но тот факт, что 2 миллиарда еженедельных загрузок были скомпрометированы, показывает, насколько хрупки наши системы.»

Примечание: Если вы используете MetaMask, Phantom, Trust Wallet или любое другое крипто-приложение, совет прост: не спешите, проверяйте каждый символ и, когда возможно, используйте аппаратный кошелек.

Эта история была впервые опубликована TheStreet 8 сентября 2025 года, где она появилась в разделе Инновации. Добавьте TheStreet в список предпочтительных источников, нажав здесь.

Посмотреть комментарии