Як залишатися в безпеці, якщо ви використовуєте MetaMask, Phantom, Trust або будь-який крипто-гаманець від атаки NPM

Новий кібернапад змусив мільйони користувачів криптовалюти насторожитися, після того як хакери вставили шкідливий код у NPM, реєстр програмного забезпечення, який живить тисячі додатків та веб-сайтів, включаючи багато, пов'язаних з криптогаманець.

Що таке NPM?

Для недосвідчених користувачів NPM (Node Package Manager) - це як величезна бібліотека безкоштовних будівельних блоків, які програмісти використовують для створення додатків. Кожного разу, коли ви взаємодієте з розширенням гаманця, таким як MetaMask, або з DeFi панеллю, є ймовірність, що частина його коду походить з NPM.

Проблема в тому, що якщо зловмисники підкинуть шкідливе програмне забезпечення в один з цих будівельних блоків, воно може поширитися на тисячі додатків без відома користувачів. З більш ніж 2 мільярдами завантажень щотижня, NPM є основою Інтернету і основною мішенню.

Більше новин:

• Ще одна біржа зламано на $40M
• Найбільший детектив криптовалют має 10 шокуючих питань щодо зламу
• Злом Bybit був схожий на інцидент з WazirX, кажуть джерела

Як працює атака

Розробники вперше помітили, що щось не так, коли почали з'являтися помилки при складанні коду. Дослідник StarPlatinum пояснив:

"Розробники вперше помітили дивні помилки збірки, такі як fetch не визначено. Коли вони перевірили код, то виявили важку обфускацію, що приховує функції, такі як checkethereumw. Ясний знак, що це націлено на крипто."

Потрапивши всередину, шкідливе програмне забезпечення мало два трюки. Як детально пояснила Мінал Тукрал:

**“Шкідливе програмне забезпечення використовує два складні методи:
– Підміна Буфера Обміну: Коли ви вставляєте адресу гаманця, вона непомітно замінюється на схожу адресу зловмисника, що робить надзвичайно важким помітити різницю. – Перехоплення транзакцій: Він безпосередньо підключається до функцій вашого гаманця. Коли ви намагаєтеся підписати транзакцію, він змінює адресу отримувача в фоновому режимі ще до того, як з’явиться запит на підтвердження.

Ви могли б подумати, що відправляєте монети другові, але шкідливе ПЗ може тихо перенаправити їх до хакера.

Досі було виявлено Ethereum-валюту зловмисника та кілька резервних копій, і жодні вкрадені кошти не були переміщені. Але той факт, що код працював в додатках з мільярдами завантажень, підірвав довіру.

sol.engineer підсумував:

“Цей код працює за лаштунками в додатках з мільярдами завантажень щотижня. Навіть великі компанії покладаються на нього. Це означає: будь-яка платформа Solana, будь-який гаманець і більше можуть бути під впливом.”

Що користувачі гаманців повинні зробити зараз

Перший крок - це сповільнитися. Багато крипто-користувачів перевіряють лише перші та останні кілька цифр адреси гаманця при відправці грошей, але саме це і використовується атакуючими.

Як попереджав sol.engineer:

“Двічі перевірте кожну адресу перед відправкою, сповільніть & перевірте кожен окремий символ (, а не лише перший/останній 4).”

Історія триває. Для користувачів MetaMask, Phantom або Trust Wallet це означає уважно прочитати повну адресу на екрані підтвердження перед натисканням на відправити.

Апарати для зберігання криптовалюти, такі як Ledger або Trezor, додають ще один рівень захисту. Оскільки вони відображають деталі транзакцій на окремому пристрої, навіть якщо шкідливе ПЗ втручається у ваш комп'ютер або телефон, апаратний гаманець показує справжню адресу перед підтвердженням.

Мінал Тукрал висловила це прямо:

"Ваш екран остаточної підтвердження – це ваш останній рубіж захисту. Ви повинні ретельно перевірити кожен символ адреси отримувача у вашому гаманці або на екрані вашого апаратного гаманця перед тим, як затвердити будь-яку транзакцію."

Що вам слід зробити?

Цей інцидент було швидко виявлено, але він показує, наскільки вразливим може бути крипто, коли інструменти, на які покладаються розробники, скомпрометовані. Для звичайних користувачів найкращими засобами захисту є пильність та апаратний захист.

StarPlatinum надав останнє нагадування:

«Цього разу спільнота швидко помітила це. Але той факт, що 2 мільярди щотижневих завантажень були скомпрометовані, показує, як крихкі наші системи.»

Примітка: Якщо ви використовуєте MetaMask, Phantom, Trust Wallet або будь-який крипто-додаток, порада проста: не поспішайте, перевірте кожен символ, і коли це можливо, використовуйте апаратний гаманець.

Цю історію спочатку було опубліковано TheStreet 8 вересня 2025 року, де вона вперше з'явилася в розділі Інновації. Додайте TheStreet до списку вподобаних джерел, натиснувши тут.

Переглянути коментарі