严重安全警告：9月8号，开发者qix的账号被黑客运用社会工程学精准劫持。黑客随后使用其账号向著名javascript库npm中由其维护的约18个软件包中成功投毒。这些软件包每周被全世界的各种网站下载使用超过20亿次——其中就包括各种主流非主流的区块链web3网站（所谓DApp）！

这意味着什么？从今天开始，到问题彻底被修复之前，你在各种DeFi（去中心化金融）、各种web3网站上的每一次签名交易的操作，都有可能给你带来不可挽回的经济损失。

一张全球围猎区块链小白用户手中加密资产的无形大网已经张开。

请。务。必。当。心。

教链获悉，这次黑客大面积投放的毒代码有两种方式盗窃你加密钱包中的资金：

第一种是被动方式。当你点击的web3 DApp上的资产转移操作按钮，毒代码会悄悄地把接收地址篡改成黑客的地址，让没有再三核实交易细节的你，稀里糊涂地就把钱转给了黑客。

第二种是主动劫持。毒代码会监听每一笔交易，并在签名之前悄悄替换掉收款地址，神不知鬼不觉地让一路无脑点击下一步的你，把币乖乖投进黑客的存钱罐。

你说：我有再三核实收款地址的好习惯呀！

但是你可能看花眼——黑客巧妙地采用了Levenshtein算法，生成和你的钱包地址十分相似的盗币地址。

如果你不是停下来仔细看的话，很可能就被骗过去了。

幸好，目前看起来黑客的运气不佳。

这是黑客的主网钱包地址：0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976

目前还只有零点几个ETH。

暂时如何防范？

如果你是普通用户的话：使用硬件钱包，并在签名确认前仔细核实收款地址和金额。

如果你是开发者的话：固定住你使用的库版本，不要让它自动升级（成带毒版本）。

这种攻击方式有个听起来很高级的词儿叫做：供应链攻击。

而每一次类似的攻击方式，都会有投毒隐秘、扩散迅速、影响广泛的特点。

究其原因，还是因为web3 DApp的架构形式，前端承袭自web2前端的开源协作生态，中间采用互联网网关接入，最后是把所谓去中心化的区块链网络层层包裹在传统中心化的web2洋葱皮里面，也就难怪黑客要挑选外层因为千钧重担系于一点而让黑客更容易四两拨千斤的切入点展开攻击了。

互联网上的单点失效问题（Single Point of Failure）随处可见。

而比特币，没有web3，没有DApp，没有互联网网关，没有网页访问和自动更新第三方代码库的单点失效问题。