À propos de cette attaque de chaîne d'approvisionnement npm : Le mainteneur de npm, qix, a été victime d'une ingénierie sociale ciblée, ayant cliqué sur un faux e-mail de réinitialisation 2fa, ce qui a entraîné une fuite de ses droits d'accès. L'attaquant a ensuite utilisé son compte pour publier une nouvelle version contenant un backdoor, touchant des bibliothèques fondamentales comme chalk et debug. Cette attaque a un impact considérable. Tout d'abord, elle est très discrète. La première partie conserve des fonctionnalités normales, sans générer d'erreurs immédiates. Le payload a été obfusqué, rendant difficile sa détection lors d'un audit statique. Les hackers ont même hooké fetch, XMLHttpRequest et ethereum.request, trompant même les outils de débogage. Ensuite, l'effet de l'attaque est dévastateur. Le remplacement d'adresse n'est pas aléatoire, mais utilise la distance de Levenshtein pour calculer l'adresse de l'attaquant la plus proche, rendant presque impossible la détection par l'utilisateur. Il a également été spécialement adapté pour les routeurs dex, la plupart des swaps pouvant être détournés ; la réponse renvoyée est également un faux succès, les développeurs et les utilisateurs pensant que la transaction s'est bien déroulée, alors que les fonds ont déjà été transférés. Si ce n'était pas pour la confirmation secondaire que les portefeuilles matériels peuvent effectuer lors du dernier saut, beaucoup de gens ne sauraient même pas comment leur argent a disparu. Si vous utilisez le portefeuille onekey app : totalement non affecté. Si vous utilisez le portefeuille onekey app + matériel onekey : encore plus sûr, également totalement non affecté. Si vous utilisez le matériel onekey + des applications d'autres fabricants : assurez-vous de confirmer l'adresse et le montant sur l'écran du matériel. L'analyse sur le matériel est la dernière ligne de défense, elle peut sauver des vies en cas de besoin. Ne faites pas confiance aux affichages des pages web ou des plugins, jusqu'à ce qu'il y ait un rapport officiel ou des mesures de correction. C'est tout.

Les enfants ne sont pas des copies, ne sont pas des outils sociaux, et ne sont pas l'extension de vos idéaux. Ce sont des vies libres et étrangères.

Hyperliquid illustre parfaitement ce qu'est l'autonomisation. Lorsque votre produit et votre liquidité sont incontestablement les leaders du marché des perpétuels, il vous suffit de publier un message de recrutement pour que des milliers de personnes viennent à vous.