OKX Wallet 针对近期备受关注的”NPM 供应链攻击”事件发布官方声明,强调平台始终将系统安全置于核心位置。在产品研发与上线全流程中,OKX Wallet 严格执行第三方组件使用风险管理机制。经过严谨的内部核查与安全评估,OKX APP 基于安卓与 iOS 原生框架开发,完全不存在相关安全风险隐患。此外,OKX 插件、Web 应用及移动端 DApp 浏览器均未使用受影响版本的第三方组件,平台各项服务目前运行稳定,用户可放心继续使用各项功能。
此次 NPM 供应链攻击事件规模空前,攻击者通过精心设计的钓鱼邮件(伪装为 npmjs 官方支持邮件)成功窃取了开发者 qix 的 NPM 账户凭证。随后,攻击者向其发布的 18 个热门 JavaScript 包(包括 chalk、debug-js 等知名库,周下载量累计超过 20 亿次)注入了恶意代码。这一攻击行为被安全专家称为史上最大规模的供应链攻击事件。
值得注意的是,该恶意代码具有高度针对性,并未尝试在本地环境植入木马或窃取文件,而是专门针对 Web 3 场景设计。当检测到浏览器环境中存在 window.ethereum 变量时,恶意代码会立即劫持交易请求。通过篡改浏览器的 Ethereum 和 Solana 交易请求,恶意代码将用户资金重定向至攻击者控制的地址(例如以太坊地址 0xFc4a4858…)。更隐蔽的是,攻击者通过替换 JSON 响应中的加密地址,在页面显示正常交易地址的同时,将实际资金转至攻击者账户。这种”表面交易正常,实际资金被盗”的攻击方式极具欺骗性,给用户资产安全带来严重威胁。