Bitget App
Mag-trade nang mas matalino
Buy cryptoMarketsTradeFuturesEarnWeb3SquareMore
Trade
Spot
Mag Buy and Sell ng crypto nang madali
Margin
Amplify your capital and maximize fund efficiency
Onchain
Going Onchain, Without Going Onchain
Convert & block trade
I-convert ang crypto sa isang click at walang bayad
Explore
Launchhub
Makuha ang gilid nang maaga at magsimulang manalo
Copy
Kopyahin ang elite trader sa isang click
Bots
Simple, mabilis, at maaasahang AI trading bot
Trade
USDT-M Futures
Futures settled in USDT
USDC-M Futures
Futures settled in USDC
Coin-M Futures
Futures settled in cryptocurrencies
Explore
Futures guide
Isang beginner-to-advanced na paglalakbay sa futures trading
Futures promotions
Generous rewards await
Overview
Iba't ibang produkto para mapalago ang iyong mga asset
Simple Earn
Magdeposito at mag-withdraw anumang oras para makakuha ng mga flexible return na walang panganib
On-chain Earn
Kumita ng kita araw-araw nang hindi nanganganib ang prinsipal
Structured na Kumita
Matatag na pagbabago sa pananalapi upang i-navigate ang mga market swing
VIP and Wealth Management
Mga premium na serbisyo para sa matalinong pamamahala ng kayamanan
Loans
Flexible na paghiram na may mataas na seguridad sa pondo
Bitget
Balita
Pinuri ng CTO ng Ripple ang Xaman Habang Nagbabala ang Ledger CTO ng Pag-iingat Matapos ang NPM Supply-Chain Attack na Maaaring Mag-redirect ng XRP Funds

Pinuri ng CTO ng Ripple ang Xaman Habang Nagbabala ang Ledger CTO ng Pag-iingat Matapos ang NPM Supply-Chain Attack na Maaaring Mag-redirect ng XRP Funds

CoinotagCoinotag2025/09/08 21:24
Ipakita ang orihinal
By:Marisol Navaro

Mabilis na isinagawa ng Xaman wallet ang audit at nakumpirma ang kaligtasan ng mga user matapos ang isang supply‑chain attack sa NPM ecosystem na nagpasok ng malware na tumatarget sa mga crypto wallet. Ang mabilis na tugon ng Xaman at mga abiso sa komunidad ay nagbawas ng exposure; dapat tiyakin ng mga user ang integridad ng package at pansamantalang itigil ang mga mapanganib na on‑chain na aksyon kung wala silang hardware signing.

  • Agad na natapos ng Xaman ang audit at walang natuklasang kompromiso sa kanilang wallet.

  • Tinarget ng mga malisyosong NPM package ang mga browser wallet sa pamamagitan ng tahimik na pagpapalit ng recipient address.

  • Nagbigay ng babala ang mga industry figure kabilang sina David Schwartz at Charles Guillemet; ang mga audit at hardware signing ay nagpapababa ng panganib.

Xaman wallet NPM supply chain attack: Mabilis na in-audit ng Xaman ang kanilang app matapos ang NPM malware na tumarget sa mga crypto wallet; alamin ang mga hakbang upang tiyakin ang integridad ng package at protektahan ang iyong pondo ngayon.







Ano ang nangyari sa Xaman wallet NPM supply chain attack?

Ang Xaman wallet NPM supply chain attack ay kinasangkutan ng isang na-kompromisong NPM developer account na nagbigay-daan sa pagkalat ng malisyosong code sa malawakang ginagamit na mga JavaScript package. Sinubukan ng mga malisyosong package na ito na targetin ang mga browser-based na cryptocurrency wallet sa pamamagitan ng pagpapalit o pagreredirect ng recipient address, na naglalantad sa mga user na umaasa sa hindi beripikadong mga package o unsigned na transaksyon.

Paano tumugon ang Xaman sa supply‑chain incident?

Agad na nagsagawa ang Xaman team ng internal audit at naglabas ng pampublikong abiso sa mga user. Sa kanilang pagsusuri, walang natagpuang ebidensya ng kompromiso sa Xaman client, at nagbigay sila ng mga hakbang para sa beripikasyon. Pinuri ni David Schwartz (CTO, Ripple) ang mabilis na aksyon at malinaw na komunikasyon ng Xaman.

Bakit tinatarget ng NPM supply‑chain attacks ang mga crypto wallet?

Sinasamantala ng mga attacker ang trust model ng package managers: ang maliliit na pagbabago sa mga pinagkakatiwalaang package ay maaaring maikalat nang malawakan at ma-execute sa mga environment ng user. Ang malware na nakatuon sa mga crypto wallet ay awtomatikong nagpapalit ng address o nagmamaniobra ng clipboard upang i-redirect ang pondo sa address ng attacker, partikular na naaapektuhan ang mga hindi bihasang user.

Paano dapat protektahan ng mga user ang kanilang pondo pagkatapos ng supply‑chain compromise?

Sundin agad ang mga hakbang sa beripikasyon at proteksyon: itigil muna ang mga hindi mahalagang on‑chain na transaksyon kung wala kang malinaw na hardware signing; beripikahin ang mga checksum ng package at panatilihing updated ang software; gumamit ng hardware wallet na may malinaw na signing flow para sa malalaking transfer.


Pinuri ni David Schwartz, chief technology officer ng Ripple, ang mabilis na pagresponde ng Xaman sa insidente. Isang kilalang developer ang na-kompromiso ang NPM account, at natuklasan na may malisyosong code ang ilang JavaScript package na tumarget sa mga browser wallet.

Partikular na tinarget ng malware ang mga popular na crypto wallet sa pamamagitan ng pag-intercept o pagpapalit ng recipient address upang i-redirect ang pondo. Ang teknik na ito ay umaasa sa mga user na hindi nagbeberipika ng detalye ng transaksyon o umaasa sa unsigned na browser prompts.

Ayon sa ulat ng COINOTAG, inirekomenda ni Ledger CTO Charles Guillemet na ang mga user na walang hardware wallet na may malinaw na on‑device signing ay pansamantalang umiwas muna sa on‑chain na transaksyon hanggang makumpirma ang integridad ng package.

Ano ang naging konklusyon ng audit ng Xaman?

Nagsagawa ang Xaman team ng mabilisang security audit at nakumpirma na ang opisyal na Xaman release ay hindi na-kompromiso. Naglabas din ang wallet team ng mga rekomendadong hakbang sa beripikasyon at hinikayat ang mga user na mag-update lamang sa opisyal na channels at tiyakin ang package signature kung available.

Binanggit ng XRPL Labs co‑founder na si Wietse Wind na dumarami ang mga supply‑chain attack, kaya't kinakailangan ng mas matibay na package signing at dependency hygiene sa buong JavaScript ecosystem.

Paano maaaring beripikahin ng mga developer at user ang mga package?

Dapat gumamit ang mga developer ng reproducible builds, digital signatures, at lockfiles. Dapat beripikahin ng mga user ang mga checksum, piliin ang mga signed release, at iwasan ang pag-install ng hindi nasuring mga package. Ang regular na dependency audit at minimal na paggamit ng third‑party package ay nagpapababa ng exposure.

Mga Madalas Itanong

Na-kompromiso ba talaga ang Xaman wallet?

Walang natagpuang palatandaan ng kompromiso sa opisyal na wallet build ayon sa mabilisang audit ng Xaman. Ang insidente ay kinasangkutan ng mga infected na NPM package mula sa na-kompromisong developer account; nanatiling ligtas ang Xaman releases matapos ang beripikasyon.

Dapat ba akong huminto sa on‑chain na transaksyon ngayon?

Pinayuhan ni Ledger CTO Charles Guillemet na ang mga user na walang hardware wallet na sumusuporta sa explicit on‑device signing ay dapat isaalang-alang ang pansamantalang pagtigil ng on‑chain na transaksyon hanggang makumpirma ang integridad ng package. Bigyang prayoridad ang hardware signing para sa malalaking transfer.


Paano mo mapapaseguro ang iyong wallet pagkatapos ng supply‑chain attack? (Step‑by‑step)

Sundin ang mga praktikal at prayoridad na hakbang na ito upang mabawasan ang panganib at beripikahin ang integridad ng client.

  1. Itigil muna ang on‑chain na transaksyon kung wala kang hardware signing para sa mahahalagang transfer.
  2. Beripikahin ang wallet build checksum o signature laban sa opisyal na release notes ng publisher.
  3. Mag-update lamang ng wallet mula sa opisyal na channels at muling mag-install mula sa verified binaries kung may pagdududa.
  4. Gumamit ng hardware wallet na may explicit on‑device signing para sa lahat ng mahahalagang transaksyon.
  5. I-audit ang mga naka-install na dependency at alisin ang hindi ginagamit o hindi pinagkakatiwalaang package.


Mahahalagang Punto

  • Mahalaga ang agarang audit: Ang mabilis na audit ng Xaman ay naglimita ng exposure ng user at nagbigay linaw sa kaligtasan.
  • Totoo ang panganib ng supply‑chain: Maaaring tahimik na targetin ng malisyosong NPM package ang wallet flows at address fields.
  • Mga hakbang sa proteksyon: Beripikahin ang mga signature, gumamit ng hardware wallet, at piliin ang mga signed release para sa crypto operations.

Konklusyon

Ang Xaman wallet NPM supply chain attack ay nagpapakita ng lumalaking banta ng dependency‑level malware sa JavaScript ecosystem. Ang mabilis na audit at abiso ng Xaman sa komunidad ay nagbawas ng kawalang-katiyakan, habang ang mga eksperto tulad nina David Schwartz at Charles Guillemet ay nagbigay ng babala. Dapat beripikahin ng mga user ang mga build, gumamit ng hardware signing, at sundin ang opisyal na gabay mula sa wallet teams upang maprotektahan ang pondo.

Inilathala ng COINOTAG noong 2025-09-08. Huling na-update 2025-09-08.

In Case You Missed It: Tinataya ng mga trader kung aling pangunahing asset ang maaaring manguna sa susunod na galaw habang nananatiling hindi tiyak ang Bitcoin at lumalamig ang sentiment
0

Disclaimer: Ang nilalaman ng artikulong ito ay sumasalamin lamang sa opinyon ng author at hindi kumakatawan sa platform sa anumang kapasidad. Ang artikulong ito ay hindi nilayon na magsilbi bilang isang sanggunian para sa paggawa ng mga desisyon sa investment.

PoolX: Naka-lock para sa mga bagong token.
Hanggang 12%. Palaging naka-on, laging may airdrop.
Mag Locked na ngayon!

Baka magustuhan mo rin

Malaking Linggo ng Bitcoin: Hype sa Pagbaba ng Fed Rate kasabay ng Bagong Anunsyo ng BTC Treasury

Ang pagsasanib ng Asset Entities at Strive ay naghahanda para sa $1.5 billions na pagbili ng Bitcoin, habang ang inaasahang pagbaba ng rate ng Fed ay maaaring magdala ng malalaking inflows.

Coinspeaker2025/09/10 13:53
Inuulit ng Ethereum ang 2020 breakout setup na nagpapalakas ng malalaking inaasahan para sa rally

Ang yunit ng KindlyMD ay nag-commit ng $30 milyon sa Bitcoin-focused equity raise ng Metaplanet

Sinabi ng Nakamoto na naglaan ito ng hanggang $30 milyon upang lumahok sa global equity offering ng Metaplanet. Ayon sa Nakamoto, ito ang pinakamalaking solong investment nito hanggang ngayon.

The Block2025/09/10 12:53
Ang yunit ng KindlyMD ay nag-commit ng $30 milyon sa Bitcoin-focused equity raise ng Metaplanet

Trending na balita

Higit pa
1

Dapat umabot ang Bitcoin sa $104K upang maulit ang mga nakaraang bull market dips: Pananaliksik

2

Malaking Linggo ng Bitcoin: Hype sa Pagbaba ng Fed Rate kasabay ng Bagong Anunsyo ng BTC Treasury

Mga presyo ng crypto

Higit pa
Bitcoin
Bitcoin
BTC
$113,834.44
+2.63%
Ethereum
Ethereum
ETH
$4,395.2
+2.47%
XRP
XRP
XRP
$3
+1.69%
Tether USDt
Tether USDt
USDT
$1
+0.04%
BNB
BNB
BNB
$896.03
+2.58%
Solana
Solana
SOL
$222.96
+4.47%
USDC
USDC
USDC
$0.9998
+0.02%
Dogecoin
Dogecoin
DOGE
$0.2436
+2.17%
TRON
TRON
TRX
$0.3387
+1.29%
Cardano
Cardano
ADA
$0.8880
+3.44%
Paano magbenta ng PI
Inililista ng Bitget ang PI – Buy or sell ng PI nang mabilis sa Bitget!
Trade na ngayon
Hindi pa Bitgetter?Isang welcome pack na nagkakahalaga ng 6200 USDT para sa mga bagong Bitgetters!
Mag-sign up na
Tungkol kay Bitget
Tungkol kay Bitget Contact us Komunidad Careers Blog ng Bitget Bitget Token (BGB) Sentro ng Anunsyo Katibayan ng mga reserba Proteksyon ng Fund Friendship Links LALIGA partnership Partnership sa MotoGP Blockchain4Youth Blockchain4Her Sitemap
Mga produkto
Spot Futures Onchain Margin Earn Spot copy trading Futures copy trading Bot copy trading Mga bot APIs TraderPro Web3 Wallet Fiat OTC Bitget Swap Telegram Apps Center Airdrop Library
Bumili ng Crypto
Bumili ng Crypto Bumili ng Bitcoin Bumili ng ETH Bumili ng DOGE Bumili ng XRP Bumili ng BGB Bumili ng SHIB Mga presyo ng crypto Presyo ng bitcoin Presyo ng Ethereum Solana price chart Calculator Bitcoin ETF Crypto Wiki XRP price Pi Network price ADA price Solana price Trump coin price Dogecoin price BRC-20 na presyo
Support
Isumite ang Feedback Help Center I-verify ang Mga Opisyal na Channel Anti-scam hub Aplikasyon sa Listahan Mga Serbisyong VIP Affiliate Program Mga serbisyong institusyon Pag-iingat ng asset Mag-download ng data Mga promosyon Referral Program Araw ng bayarin Tax filing API
Legal
Kahilingan sa Pagpapatupad ng Batas Regulatory request Compliance Lisensya sa Regulasyon Mga Patakaran ng AML/CFT Policy sa Privacy Terms of Service Risk Disclosure
I-scan para mag-download
© 2025 Bitget