Több milliárd letöltés, filléres zsákmány: kriptotörténeti bénázás
Egy olyan hackertámadás, amely potenciálisan milliárdnyi felhasználót sodorhatott veszélybe, végül alig 50 dollárnyi kriptót szerzett meg. A JavaScript-könyvtárakon keresztül terjedő kártevő Ethereum- és Solana-tárcákat célzott, de a támadók óriási lehetőséget mulasztottak el.
A „Fort Knox” kulcsa, amit könyvjelzőnek használtak
A Security Alliance hétfőn hozta nyilvánosságra, hogy egy ismert fejlesztő NPM-fiókját törték fel, majd rosszindulatú kódot adtak hozzá olyan népszerű csomagokhoz, mint a chalk, a strip-ansi vagy a color-convert.
Ezeket a csomagokat több mint egymilliárdszor töltötték le, így szinte az egész kriptós ökoszisztéma érintett lehetett. A hackerek azonban mindössze néhány tíz dollárnyi ETH-t és memecoint loptak el.
„Olyan ez, mintha valaki megtalálná a Fort Knox kulcskártyáját, és könyvjelzőként használná” – fogalmazott Samczsun, a SEAL kutatója.
Hogyan működött a támadás?
A kártevő egy úgynevezett crypto-clipper volt, amely tranzakció közben lecserélte a felhasználó által megadott tárcacímet a támadóéra. Bár az érintett könyvtárakat nem minden projekt telepítette közvetlenül, a függőségi láncokon keresztül így is több kriptoalkalmazás lehetett veszélyben.
— Security Alliance (@_SEAL_Org) September 8, 2025
A Security Alliance szerint az egyik rosszindulatú címhez olyan tokenek kerültek, mint Brett, Andy, Dork Lord, Ethervista vagy Gondola.
Kik úszták meg?
A nagyobb pénztárcaszolgáltatók – köztük a Ledger, a MetaMask és a Phantom Wallet – jelezték, hogy platformjaikat nem érinti a támadás, mivel többrétegű védelmi rendszert alkalmaznak. Hasonlóan biztonságban maradt több DeFi-szolgáltató, például az Uniswap, az Aerodrome és a Revoke.cash is.
As a MetaMask user, you do not need to be scared of the supply chain attack that took place earlier today.
— MetaMask.eth 🦊 (@MetaMask) September 8, 2025
MetaMask has multiple layers of defense to protect our products and users:
- Basic Security: We lock our versions, don't push directly to main, have manual and automated…
Ennek ellenére több szakértő, köztük a Ledger technológiai vezetője is figyelmeztetett: minden on-chain tranzakció előtt fokozott körültekintés szükséges. A DeFiLlama alapítója hozzátette, hogy valódi kockázat elsősorban azoknál a projektnél merülhet fel, amelyek a rosszindulatú csomag publikálása után frissítettek — és még ekkor is szükség van a felhasználói jóváhagyásra.
Altcoin
Jezsó Zita • 2026. április 22.
A Tron alapítója perel a WLFI ügyben: szerinte a tokenzárolás és governance javaslat sérti a befektetők jogait.
DeFI
LupusBaltazar • 2026. április 22.
CLARITY ACT: egy amerikai szenátor májusi halasztást javasol. Tovább zajlik a vita a stabilcoin hozamokról és a kriptós szabályozásról.
Bitcoin
Marcell Bodó • 2026. április 21.
A VIX meredek zuhanása ismét a kockázatos eszközök felé terelheti a tőkét, de a friss makrohírek könnyen felülírhatják ezt a képet.
Blokklánc
Adél Málek • 2026. április 21.
Tizenkét európai nagybank a Qivalis konzorciumban indít szabályozott euró alapú stablecoint, hogy mérsékelje a dollárdominanciát a piacon.
