Comprar Cripto
Pagar com
USD
USD
Comprar e vender
HOT
Compre e venda criptomoedas através da Apple Pay, cartões, Google Pay, transferências bancárias e muito mais
P2P
0 Fees
Taxas zero, mais de 400 opções de pagamento e compra e venda fácil de criptomoedas
Cartão Gate
Cartão de pagamento de criptomoedas, que permite transações globais sem falhas.
Mercados
Negociar
Tipo de negociação
Ferramentas de negociação
Futuros
Futuros
Centenas de contratos liquidados em USDT ou BTC
Opções
HOT
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Arranque dos futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para ganhar recompensas generosas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Lançamento
CandyDrop
tag
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Launchpad
Chegue cedo ao próximo grande projeto de tokens
Pontos Alpha
NEW
Negoceie ativos on-chain e desfrute de recompensas de airdrop!
Pontos de futuros
NEW
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Comunidade
Square
Gate Fun
Partilhe a sua publicação e mantenha-se informado sobre as criptomoedas e não só
Em direto
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
web3
Web3
Mais
Promoções
Guia para iniciantes
giveaways
Centro de Recompensas
Square
Últimas
Quente
Notícias
Perfil
Layer2Arbitrageurvip

Em março deste ano, a comunidade de desenvolvedores revelou um incidente de segurança alarmante — pacotes JavaScript com milhões de downloads foram infectados com código malicioso de roubo de criptomoedas. Estes componentes de código aberto aparentemente inofensivos, na realidade, carregam um programa de roubo de criptomoedas cuidadosamente elaborado por hackers. Os atacantes, ao contaminar as dependências centrais do ecossistema npm, criaram um mecanismo de propagação automática de código malicioso.



**Como funciona o ataque oculto de três camadas**

O núcleo de todo o ataque é o "sequestro de dependências" — quando você importa uma biblioteca de terceiros contaminada no seu projeto, o código malicioso é ativado silenciosamente, começando a escanear seus arquivos de carteiras de criptomoedas locais. Este método possui três estratégias astutas:

Primeiro, **falsificação de ambiente**. O programa só se ativa em IPs de regiões específicas ou com configurações de idioma do sistema, disfarçando-se de inocente em ambientes de sandbox de testes. Assim, as verificações de segurança não detectam nada.

Segundo, **detecção de chaves**. Para aplicações de carteira de desktop construídas com Electron, o malware utiliza permissões de arquivos do sistema para roubar informações de chaves privadas sem que o usuário perceba.

Terceiro, **lavagem de dinheiro na cadeia**. Os ativos roubados são convertidos em moedas de privacidade através de pontes entre cadeias, e depois inseridos em pools de liquidez de DEXs para lavagem. Uma vez que o dinheiro entra no buraco negro do DeFi, rastreá-lo torna-se quase impossível.

**Por que o ecossistema open source é tão frágil**

Este incidente revelou uma falha fatal no mundo open source: mais de 78% dos projetos JavaScript dependem de bibliotecas de terceiros que nunca passaram por auditorias de segurança. Hackers só precisam comprometer a conta de um mantenedor para injetar código malicioso em toda a cadeia de dependências. Uma vez contaminada a fonte, todos os projetos downstream que a utilizam também ficam vulneráveis. E os ativos roubados, por sua vez, são lavados através de mecanismos de mistura e enviados para redes financeiras clandestinas. Isso já não é apenas uma questão técnica, mas uma nova ameaça econômica na era digital.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • 4
  • Republicar
  • Partilhar
Comentar
0/400
AirdropHuntervip
· 8h atrás
Meu Deus, o ecossistema npm é tão exagerado assim? Qualquer um pode simplesmente envenenar tudo --- Aquela história de lavagem de dinheiro na blockchain é realmente impressionante, assim que entra na pool de liquidez do DEX vira um ativo fantasma --- 78%... Eu já dizia que me sentiria mais seguro escrevendo minha própria biblioteca, agora finalmente tenho uma razão hahaha --- Então os desenvolvedores são forçados a se tornarem cúmplices, perder a conta de mantenedor e ficar socialmente morto, essa lógica é realmente absurda --- Espera aí, essas bibliotecas que usamos são seguras? Estou um pouco preocupado, para ser honesto --- Misturar moedas para moedas de privacidade e depois lavar dinheiro no DeFi, esse esquema de ataque foi bem pesado, para dizer a verdade, até tem um certo toque artístico --- Basicamente, o modelo de confiança do npm já quebrou, ninguém está pensando em consertar isso --- Hackers escaneando arquivos de carteiras locais, eu nem sei como me proteger, que brincadeira é essa --- A cadeia de dependências é uma cadeia de veneno, um vilão lá em cima faz toda a cadeia pagar o preço, estou desesperado
Ver originalResponder0
StakeTillRetirevip
· 8h atrás
Que raio, quão brutal deve ser isso, o ecossistema npm está mesmo assim a cair em decadência? --- É por isso que nunca confio naquelas bibliotecas de pequenos mantenedores, uma cadeia de dependências e tudo desmorona --- A detecção de chaves é incrível, os utilizadores nem percebem que algo aconteceu --- Portanto, no final, o dinheiro que entra na DEX realmente desaparece, esta tática de mistura de moedas não consegue impedir nada --- Os mantenedores de projetos open source têm uma consciência de segurança tão má? Deixe-me reconsiderar todas as minhas dependências --- Depois de pensar, ainda bem que a minha chave privada da carteira nunca esteve num dispositivo sem ligação à internet, a carteira fria realmente salva vidas --- Inacreditável, só um conta comprometida pode envenenar todo o ecossistema, a npm devia refletir sobre isso --- E 78% dos projetos estão a correr nus, esses dados fazem-me arrepiar a espinha
Ver originalResponder0
Token_Sherpavip
· 8h atrás
ngl esta cadeia de dependências de pesadelo é exatamente a razão pela qual parei de confiar em pacotes "auditados" há anos... ataques à cadeia de fornecimento têm um impacto diferente quando toda a sua pilha é construída com código não verificado
Ver originalResponder0
SelfCustodyIssuesvip
· 8h atrás
Agora o ecossistema npm está realmente acabado, quem ainda se atreve a usar bibliotecas de terceiros --- A tática de disfarçar o ambiente é genial, até o sandbox foi enganado, isso é muito brutal --- Então eu ainda tenho que auditar cada linha de código sozinho, que cansaço --- O pool de liquidez do DEX virou um buraco negro de lavagem de dinheiro, o design desse sistema DeFi tem problemas --- Conseguir uma conta de mantenedor pode contaminar toda a cadeia... não dá para confiar no código aberto --- Essa é a verdadeira ataque à cadeia de suprimentos, mais assustadora que qualquer ransomware --- 78% das bibliotecas não foram auditadas? Então as dependências do meu projeto são uma bomba-relógio --- Se a chave privada foi roubada, o que fazer? Essa é a risco de auto-hospedagem, né --- A ponte entre cadeias se torna uma moeda de privacidade que entra no DEX, todo o processo é uma criminalidade perfeita --- O npm deveria obrigar a auditoria de segurança de cada pacote, do jeito que está agora é muito casual
Ver originalResponder0

  • Fixar

Mapa do site
Negocie cripto em qualquer lugar e a qualquer hora
qrCode
Digitalizar para transferir a aplicação Gate
Novidades
Português (Portugal)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Sobre nósCarreirasSala de imprensaPatrocinador da Oracle Red Bull RacingParceiro oficial de manga do FC InterContrato de utilizadorAviso de riscoPolítica de privacidadePolítica de cookiesKit de mediaComprovativo de ReservasLicençaSegurançaGateToken (GT)GUSDGate ChainEventos GateAutoridadesCimeirasGate Ventures
    P2PConversão e negociação em blocosNegociação à vistaNegociação de futurosAçõesAlphaMargemTokens alavancadosNFTGate PayGate LifeCartão de ofertaGate OTCGate CharityLoja GateWeb3Gate Perp DEXGate Vault
    Benefícios VIPInstitucionalFeedback do utilizadorAnúncioTarifasCentral de AjudaEnviar um pedidoSolicitação de listagemContrato inteligente seguroDesenvolvedoresVerificação de PesquisaAplicação de Mercador P2PPrograma de afiliadosCalendário CriptoSolução cross-chain da
    Gate LearnCursos de CriptomoedasGlossário de CriptomoedasPreços de criptomoedasGrandes DadosDivisão ao Meio do BitcoinAtualização do Ethereum (ETH)Wiki de criptomoedasCalculadora de cripto