Ripple CTO稱讚Xaman，Ledger CTO在NPM供應鏈攻擊後建議對XRP資金轉向保持謹慎

• Xaman 立即完成審計，未發現錢包遭到入侵。

• 惡意 NPM 套件針對瀏覽器錢包，悄悄更換收款地址。

• 業界人士如 David Schwartz 與 Charles Guillemet 呼籲提高警覺；審計與硬體簽名可降低風險。

Xaman wallet NPM 供應鏈攻擊：NPM 惡意軟體針對加密錢包後，Xaman 迅速審計其應用程式；立即了解如何驗證套件並保護資金。

Xaman wallet NPM 供應鏈攻擊發生了什麼？

Xaman wallet NPM 供應鏈攻擊涉及一個遭入侵的 NPM 開發者帳號，使惡意程式碼得以傳播至廣泛使用的 JavaScript 套件。 這些惡意套件試圖針對基於瀏覽器的加密貨幣錢包，透過替換或重定向收款地址來攻擊，暴露依賴未驗證套件或未簽名交易的用戶於風險之中。

Xaman 如何回應這起供應鏈事件？

Xaman 團隊立即啟動內部審計並向用戶發出公開警示。經審查後，未發現 Xaman 客戶端遭入侵，並向用戶提供驗證步驟。Ripple 技術長 David Schwartz 公開讚揚 Xaman 的迅速反應與透明溝通。

為什麼 NPM 供應鏈攻擊會針對加密錢包？

攻擊者利用套件管理器的信任模型：受信任套件中的微小變更可被廣泛分發並在用戶環境中執行。針對加密錢包的惡意軟體會自動更換地址或操控剪貼簿，將資金重定向至攻擊者地址，特別影響經驗較少的用戶。

供應鏈遭入侵後，用戶應如何保護資金？

請立即採取驗證與保護措施：若缺乏明確硬體簽名，暫停非必要的鏈上交易；驗證套件雜湊值並保持軟體最新；大額轉帳時使用具明確簽名流程的硬體錢包。

Ripple 技術長 David Schwartz 讚揚 Xaman 對事件的迅速處理。一位知名開發者的 NPM 帳號遭入侵，多個 JavaScript 套件被發現含有針對瀏覽器錢包的惡意程式碼。

該惡意軟體專門針對熱門加密錢包，攔截或更換收款地址以重定向資金。這種手法利用未驗證交易細節或依賴未簽名瀏覽器提示的用戶。

據 COINOTAG 報導，Ledger 技術長 Charles Guillemet 建議，尚未擁有支援明確裝置簽名的硬體錢包的用戶，暫時避免進行鏈上交易，直至生態系統確認套件完整性。

Xaman 的審計結論為何？

Xaman 團隊進行了加速安全審計，確認官方 Xaman 版本未遭入侵。錢包團隊亦發布建議的驗證步驟，並敦促用戶僅透過官方渠道更新，並於可用時驗證套件簽名。

XRPL Labs 聯合創辦人 Wietse Wind 指出，供應鏈攻擊發生頻率正逐漸增加，凸顯 JavaScript 生態系統需加強套件簽名與依賴管理。

開發者與用戶如何驗證套件？

開發者應採用可重現構建、數位簽名與鎖定檔案。用戶應驗證雜湊值、優先選擇簽名版本，並避免安裝未經審核的套件。定期審計依賴並減少第三方套件使用可降低風險暴露。

常見問題

Xaman 的錢包真的被入侵了嗎？

Xaman 的加速審計未發現官方錢包版本有任何入侵跡象。事件涉及來自遭入侵開發者帳號的受感染 NPM 套件；經驗證後，Xaman 發布版本仍然安全。

我現在應該停止鏈上交易嗎？

Ledger 技術長 Charles Guillemet 建議，尚未擁有支援明確裝置簽名的硬體錢包的用戶，考慮暫停鏈上交易，直至確認套件完整性。高價值轉帳時優先使用硬體簽名。

供應鏈攻擊後如何保護你的錢包？（步驟詳解）

請依照以下實用且有優先順序的步驟，降低風險並驗證客戶端完整性。

1. 若無硬體簽名，請暫停關鍵轉帳的鏈上交易。
2. 將錢包構建的雜湊值或簽名與發行方官方發布說明比對驗證。
3. 僅從官方渠道更新錢包，如有疑慮請重新安裝經驗證的執行檔。
4. 所有重要交易皆使用具明確裝置簽名的硬體錢包。
5. 審計已安裝依賴，移除未使用或不受信任的套件。

重點摘要

• 立即審計至關重要：Xaman 的快速審計降低用戶暴露並釐清安全狀況。
• 供應鏈風險真實存在：惡意 NPM 套件可悄悄針對錢包流程與地址欄位。
• 防護措施：驗證簽名、使用硬體錢包，並優先選擇簽名版本進行加密操作。

結論

Xaman wallet NPM 供應鏈攻擊凸顯 JavaScript 生態系統中依賴層級惡意軟體日益嚴重的威脅。Xaman 及時審計與社群通知降低了不確定性，專家如 David Schwartz 與 Charles Guillemet 亦呼籲謹慎。用戶應驗證構建、採用硬體簽名，並遵循錢包團隊的官方指引以保護資金安全。

由 COINOTAG 發布於 2025-09-08。最後更新於 2025-09-08。