OKX Wallet确认未受第三方组件安全事件影响，用户可安心使用

哈世链闻消息，针对“NPM供应链攻击”事件，OKX Wallet宣布，OKX系统安全始终为首要考虑，在产品研发与上线过程中严格管理第三方组件使用风险。经过审核评估，OKX APP基于安卓与iOS的原生框架开发，没有相关安全风险；OKX插件、Web应用和移动端DApp浏览器未使用受影响版本的第三方组件，平台各项服务运转正常，用户可以继续放心使用。与此同时，攻击者通过钓鱼邮件（伪装为npmjs支持）盗取了开发者qix的NPM账户凭证，并在其18个热门JavaScript包（如chalk、debug-js等，周下载量超过20亿次）中注入恶意代码。此次攻击被认为是史上最大规模的供应链攻击。值得注意的是，该恶意代码未尝试在本地环境植入木马或窃取文件，而是专门针对Web3场景：如果检测到浏览器中存在window.ethereum，就会劫持交易请求。恶意代码通过篡改浏览器的Ethereum和Solana交易请求，将资金重定向至攻击者控制的地址（如以太坊地址0xFc4a4858...），并通过替换JSON响应中的加密地址窃取资产。尽管页面显示正常交易地址，实际资金被转至攻击者地址。