Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
HOT
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Marchés
Trader
Type de trading
Outils de trading
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
Options
HOT
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Lancement Futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez à des événements pour gagner de généreuses récompenses
Trading démo
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
tag
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
NEW
Tradez des actifs on-chain et profitez des récompenses en airdrop !
Points Futures
NEW
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Communauté
Square
Gate Fun
Partagez votre message et restez informé sur les crypto et au-delà
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Info
Ce qu'il se passe dans le monde de la crypto
web3
Web3
Plus
Promotions
Le guide pour les débutants
giveaways
Centre de récompenses
Posts
Plus récents
Populaire
Actualités
Profil
Layer2Arbitrageurvip

En mars de cette année, la communauté des développeurs a révélé un incident de sécurité alarmant — un paquet JavaScript téléchargé des millions de fois a été intégré avec un code malveillant de vol de cryptomonnaie. Ces composants open source apparemment inoffensifs abritaient en réalité un programme de vol de cryptomonnaie soigneusement conçu par des hackers. Les attaquants ont pollué les bibliothèques dépendantes clés de l'écosystème npm, construisant ainsi un mécanisme de propagation automatique de code malveillant.



**Comment fonctionne une attaque à trois niveaux de dissimulation**

Le centre de cette attaque est la "prise d'otage des dépendances" — lorsque vous importez une bibliothèque tierce contaminée dans votre projet, le code malveillant se lance silencieusement et commence à scanner vos fichiers de portefeuille cryptographique locaux. Ce mécanisme comporte trois astuces rusées :

Premièrement, **l'usure de l'environnement**. Le programme ne s'active que dans des régions IP spécifiques ou avec une langue système particulière, se faisant passer pour innocent dans un environnement de sandbox ou de test. Ainsi, les détections de sécurité ne peuvent pas le repérer.

Deuxièmement, **la détection de clés**. Pour les applications de portefeuille de bureau construites avec Electron, il exploite directement les permissions de fichiers système pour voler les clés privées, sans que l'utilisateur en ait conscience.

Troisièmement, **le blanchiment sur la chaîne**. Les actifs volés sont convertis en jetons de confidentialité via des ponts inter-chaînes, puis injectés dans une pool de liquidités d’un DEX pour être blanchis. Une fois que les fonds entrent dans le trou noir de la DeFi, il devient presque impossible de les suivre.

**Pourquoi l’écosystème open source est-il si vulnérable**

Cet incident a mis en lumière une faille fatale du monde open source : plus de 78 % des projets JavaScript dépendent de bibliothèques tierces qui n’ont jamais été soumises à un audit de sécurité. Les hackers n’ont qu’à prendre le contrôle d’un compte de mainteneur pour injecter du code malveillant dans toute la chaîne de dépendances. Une fois la source de la contamination compromise, tous les projets en aval qui l’utilisent sont également vulnérables. Et les actifs volés sont ensuite transférés vers des réseaux financiers clandestins via des mécanismes de mixing. Ce n’est plus seulement une question technique, mais une menace économique nouvelle à l’ère numérique.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • 4
  • Reposter
  • Partager
Commentaire
0/400
AirdropHuntervip
· Il y a 7h
Mon Dieu, l'écosystème npm est-il aussi extrême ? N'importe qui peut facilement injecter du poison --- La méthode de blanchiment d'argent sur la chaîne est vraiment impressionnante, une fois dans la pool de liquidités DEX, ce devient un actif fantôme --- 78 %... Je disais que je me sentirais plus en sécurité en écrivant ma propre bibliothèque, voilà enfin une raison haha --- Donc les développeurs sont forcés de devenir des complices, perdre leur compte de mainteneur, c'est la honte totale, cette logique est vraiment absurde --- Attends, est-ce que ces bibliothèques que nous utilisons sont sécurisées ? Franchement, je suis un peu inquiet --- Mixer des coins vers des tokens de confidentialité puis faire du blanchiment via DeFi, cette chaîne d'attaque est vraiment vicieuse, pour dire franchement, c'est presque artistique --- C'est clairement le modèle de confiance de npm qui a déjà explosé, personne ne pense à changer ça --- Les hackers scannent les fichiers de portefeuille locaux, je ne sais même pas comment se défendre, à quoi ça sert encore --- La chaîne de dépendance est une chaîne toxique, un mauvais acteur en amont peut tout faire couler, c'est vraiment désespérant
Voir l'originalRépondre0
StakeTillRetirevip
· Il y a 7h
Putain, à quel point c'est grave, l'écosystème npm est-il vraiment aussi tombé? --- C'est pourquoi je ne fais jamais confiance aux bibliothèques de ces petits mainteneurs, une seule chaîne de dépendances et tout s'effondre --- La détection de clés est incroyable, les utilisateurs ne se rendent même pas compte de ce qui se passe --- Donc, à la fin, l'argent qui entre dans le DEX est vraiment perdu, tout ce système de mixage ne peut pas être complètement empêché --- Les mainteneurs de projets open source ont-ils une conscience de la sécurité aussi faible ? Cela me fait reconsidérer toutes mes dépendances --- Après réflexion, heureusement que ma clé privée de portefeuille n'a jamais été sur un appareil connecté à Internet, un portefeuille froid sauve vraiment la vie --- C'est vraiment absurde, qu'un seul compte compromis puisse contaminer tout l'écosystème, npm devrait réfléchir --- Ces 78% de projets équivalent à courir nu, ces données me donnent la chair de poule
Voir l'originalRépondre0
Token_Sherpavip
· Il y a 7h
ngl cette nightmare de dépendance en chaîne est exactement la raison pour laquelle j'ai arrêté de faire confiance aux packages "audités" il y a des années... les attaques sur la chaîne d'approvisionnement ont un impact différent lorsque toute votre pile est construite sur du code non vérifié
Voir l'originalRépondre0
SelfCustodyIssuesvip
· Il y a 8h
Cette fois, l'écosystème npm est vraiment foutu, qui oserait encore utiliser des bibliothèques tierces --- Le camouflage de l'environnement est une idée géniale, même le sandbox est trompé, ça doit être très puissant --- Donc je dois toujours auditer chaque ligne de code moi-même, c'est épuisant --- Les pools de liquidité DEX sont devenus des trous noirs de blanchiment d'argent, la conception de ce système DeFi est problématique --- Prendre le contrôle d'un compte de mainteneur peut contaminer toute la chaîne... l'open source est vraiment peu fiable --- C'est une véritable attaque de la chaîne d'approvisionnement, plus effrayante que n'importe quel ransomware --- 78% des bibliothèques n'ont pas été auditées ? Alors, les dépendances de mon projet sont des bombes à retardement --- Que faire si la clé privée est directement volée ? C'est le risque du self-custody --- Le pont inter-chaînes transformant une crypto-monnaie privée en DEX, tout le processus est un crime parfait --- npm devrait obliger à faire une audit de sécurité pour chaque package, c'est trop laxiste comme ça
Voir l'originalRépondre0

  • Épingler

plan du site
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • À propos de nousCarrièresSalle de presseSponsor de Oracle Red Bull Racing Partenaire officiel sur la manche du maillot de l’Inter de MilanConsulter les clauses contractuellesAvertissement Consulter les clauses contractuelles et notre Politique de confidentialitéPolitique des cookiesKit médiaPreuve de réservesLicenceSécuritéGateToken (GT)GUSDGate ChainÉvènements de GateApplication de la loiSommetsGate Ventures
    P2PConversion & Trading en blocs Trading spotTrading FuturesActionsAlphaMargeTokens à effet de levierNFTGate PayGate LifeCarte cadeauGate OTCGate CharityBoutique GateWeb3Gate Perp DEXGate Vault
    Avantages VIPInstitutionnelCommentaires des utilisateursAnnoncesFraisAideEnvoyer une demandeListingVérifiez la sécurité d'un smart contractDéveloppeursRecherche de vérificationApplication pour les marchands P2PProgramme d'affiliationCalendrier CryptoSolution Cross-Chain de
    Gate LearnCours cryptoGlossaire des cryptomonnaiesCours des cryptomonnaiesBig DataHalving du BitcoinMise à niveau d’Ethereum (ETH)Wiki cryptoCalculateur crypto