安全漏洞

2024年10月16日，Radiant Capital遭遇安全漏洞，损失约5000万美元。攻击者通过精密的恶意软件注入，成功篡改了至少三名长期贡献者的硬件钱包。这些开发者使用硬件钱包，且地理位置分散，这降低了被物理攻击的可能性。攻击者在正常的多重签名交易过程中，以合法的交易数据诱骗签名，导致数百万美元被盗。事件引发了广泛的安全讨论，强调了在DeFi环境中，盲签名及常见错误消息可能掩盖更深层次问题的风险。为避免类似事件，建议实施多层签名验证、独立设备校验、增强硬件钱包安全性等监控和审计机制。

本文讲述了一种新颖的供应链攻击方法，作者通过上传恶意Node.js包到npm注册表，利用内部包名称寻找目标公司的安全漏洞，成功入侵了苹果、微软等多家知名企业。主要源于开发者对代码包的盲目信任以及依赖管理工具的设计缺陷。

文章介绍了一个名为“Governance Proposal Simulation Framework”的工具，旨在帮助开发者在区块链上部署治理提案前进行模拟测试，以发现并修复潜在问题，避免安全漏洞和意外行为。