大家好，梗币（meme token）爱好者们！在快节奏的区块链与加密货币世界中，安全事件常常会在社区内引起震动。最近，一起针对 Node Package Manager（NPM）的重大供应链攻击爆发，黑客向流行的 JavaScript 库注入了恶意代码。这本可能对加密用户造成灾难性影响，尤其是在像 Solana 这样的链上，那里有像 $BONK 这样的爆红梗币。但根据 Solflare 联合创始人的关键更新，损失极小。下面来拆解一下。

NPM 攻击：发生了什么？

NPM 类似一个巨大的在线代码库，开发者从中获取预构建的代码包以加快工作。把它想象成代码片段的 App Store。在这次攻击中，坏人入侵了账户并发布了被篡改的流行包的版本，比如 'chalk'（用于终端文本样式）、'debug' 和 'ansi-styles'——这些包每周都有数亿次下载。

恶意软件很狡猾：它表现为一个“crypto-clipper”，在交易过程中替换钱包地址以将资金重定向到黑客账户。它还可能诱导用户签署有害交易或泄露助记词（那些解锁你钱包的秘密词）。安全警报建议暂停所有区块链的链上活动。你可以在这里阅读关于最初爆料的更多信息。

Solflare 的分析：Solana 上的影响范围很小

Solflare（一个流行的 Solana 钱包）的联合创始人 Vidor 介入并提供了一些令人安心的数据。在他的推文中，他分享说，在分析了这些恶意包之后，针对 Solflare 以外、侧重于 Solana 资产的影响可以说微乎其微：

"I've run analysis on the malicious versions of the packages to evaluate blast radius outside Solflare focusing on Solana assets.

A total of 0.01 SOL and 1000 $BONK has been stolen so far"

没错——只是 0.01 SOL（按当前价格价值几美分）和 1000 个 $BONK。作为背景，$BONK 是 Solana 上一个有趣的狗狗主题梗币，已迅速走红，市值常常达数十亿。丢失 1000 个代币在梗币海洋里几乎就是掉了几分钱。

Vidor 的快速分析表明，被篡改的包只在线了大约两个小时，限制了它们传播到大型应用的范围。NPM 迅速下架了这些恶意版本，像 Phantom、Solflare 和 Jupiter DEX 这样的 Solana 大玩家也确认未受影响。

社区反应与 $BONK 退款热议

推文下的回复瞬间热闹起来，既有担忧，也有幽默与社区精神。$BONK 的核心贡献者 Nom 插话道：“需要把这次的 $BONK 损失退款。”这反映出梗币社区的紧密——即便是小额损失也会引起注意，尤其当牵涉到他们自己的代币时！

其他回复则开玩笑，比如建议发起募捐，或者调侃 Solflare 的技术栈靠用 Flutter（一个较少依赖受影响 JS 包的框架）逃过一劫。还有人怀疑这事与另一桩事件有关联......

别把这事和 SwissBorg 被盗混为一谈

顺便说一下，差不多同一时间，还传出 SwissBorg（一家瑞士加密平台）因其 Earn 项目的合作方 API 被攻破而损失超过 4100 万美元的 SOL。黑客通过操纵请求抽干了 192,600 SOL。SwissBorg 澄清这并非对其自身的直接入侵，而是外部服务提供者的问题。详情见 The Block 的报道 这里。

推文线程中有人引用关于 SwissBorg 损失的帖子，问 Vidor 是否“确定”影响如此有限。但这两起事件看起来并不相关——NPM 攻击是一次广泛的软件供应链事件，而 SwissBorg 的事件则与其质押设置相关。

这对梗币持有者意味着什么

对我们这些在梗币领域的人来说，这提醒我们：尽管 Solana 的速度与低费用非常适合炒作 $BONK 或其他爆红代币，但安全性始终至关重要。梗币常吸引快速交易和大量新用户，这些人可能忽略像供应链攻击这样的风险。

以下是一些保持安全的简单建议：

• ​使用硬件钱包​​：像 Ledger 或 Trezor 这样的设备把私钥保存在离线环境。
• ​仔细核对地址​​：在签名前务必核验交易详情。
• ​更新你的软件​​：坚持使用官方版本，并在安全时启用自动更新。
• ​对 dApp 保持警惕​​：仅与可信的去中心化应用交互，并定期撤销权限。
• ​对于大额持仓选择硬件而非热钱包​​：特别是那些可能一夜之间暴涨的梗币仓位！

像这样的事件也显示了 Solana 生态的韧性——像 Solflare 这样的团队迅速响应，把损失控制到了极小。随着梗币持续火热，通过社区和官方渠道保持信息更新是保护收益的关键。

如果你持有 $BONK 或在盯着下一个 Solana 上的大梗币，继续关注官方渠道以获取后续进展。你对这次险情有什么看法？欢迎在下方留言！