خرید رمز ارز
فیوچرزبزرگترین حمله NPM در تاریخ crypto کمتر از ۵۰ دلار سرقت کرد: SEAL
در دنیای پرجنبوجوش crypto، اتفاقات عجیبی رخ میدهد که گاهی اوقات مانند یک داستان هیجانانگیز به نظر میرسد. تصور کنید هکرها به حساب node package manager (NPM) یک توسعهدهنده نرمافزار شناختهشده نفوذ میکنند و malware را به کتابخانههای محبوب JavaScript اضافه میکنند که بیش از یک میلیارد بار دانلود شدهاند. این حمله عظیم، که هدف آن کیفپولهای crypto بود، تنها کمتر از ۵۰ دلار سرقت کرده است – رقمی که با پتانسیل عظیم این نفوذ، مانند پیدا کردن کلید طلایی یک گنجینه و استفاده از آن به عنوان نشانک کتاب، قابل مقایسه است.
یافتههای جدید از حمله زنجیره تأمین NPM
طبق آخرین گزارشهای امنیتی در تاریخ ۱۱ سپتامبر ۲۰۲۵، محققان امنیتی از پلتفرم Security Alliance جزئیات بیشتری را فاش کردهاند. هکرها به حساب NPM نفوذ کرده و malware را به بستههایی مانند chalk، strip-ansi و color-convert تزریق کردهاند. این بستهها، که بخشی از درخت وابستگیهای بیشمار پروژه هستند، حتی توسعهدهندگانی را که مستقیماً آنها را نصب نکردهاند، در معرض خطر قرار میدهند. NPM مانند یک فروشگاه اپ برای توسعهدهندگان عمل میکند، جایی که کدهای کوچک برای ساخت پروژههای JavaScript به اشتراک گذاشته و دانلود میشوند.
در بهروزرسانیهای اخیر، مشخص شده که آدرس کیفپول Ethereum به شماره ۰xFc۴a۴۸ تنها آدرس مخرب شناساییشده است. محققان میگویند: «تصور کنید به حساب توسعهدهندهای در NPM با بیش از ۲ میلیارد دانلود هفتگی دسترسی دارید. میلیونها ایستگاه کاری توسعهدهندگان در دسترس شماست. ثروتهای بیشماری منتظر شماست. اما شما کمتر از ۵۰ دلار سود میبرید.» این حمله، که کیفپولهای Ethereum و Solana را هدف قرار داده، تاکنون تنها حدود ۵۰ دلار سرقت کرده، که این رقم از ۵ سنت اولیه به ۲۰ دلار memecoin افزایش یافته است.
cryptoهای سرقتشده: ETH و memecoinها
دادههای Etherscan نشان میدهد که آدرس مخرب، memecoinهایی مانند Brett، Andy (ANDY)، Dork Lord (DORK)، Ethervista (VISTA) و Gondola (GONDOLA) دریافت کرده است. پنج سنت اولیه در Ether بوده، در حالی که ۲۰ دلار دیگر از یک memecoin. این مقدار کوچک، مانند دزدیدن یک آبنبات از یک بانک بزرگ، نشاندهنده عدم بهرهبرداری کامل هکر از دسترسیشان است. Samczsun، محقق امنیتی pseudonym در SEAL، به Cointelegraph گفته: «هکر از دسترسی کامل خود استفاده نکرد. malware گسترده بود اما حالا تقریباً کاملاً خنثی شده است.»
با توجه به بهروزرسانیهای قیمت در ۱۱ سپتامبر ۲۰۲۵، قیمتهای فعلی عبارتند از: BTC در ۱۱۲,۹۵۸ دلار با ۰.۷۹% افزایش، ETH در ۴,۳۵۹ دلار با ۰.۸۶% افزایش، XRP در ۳.۰۰ دلار با ۲.۳۵% افزایش، BNB در ۸۸۲.۹۲ دلار با ۰.۷۸% افزایش، SOL در ۲۱۹.۰۲ دلار با ۳.۸۸% افزایش، DOGE در ۰.۲۴۰۹ دلار با ۳.۰۲% افزایش، ADA در ۰.۸۸۷۸ دلار با ۴.۱۱% افزایش، STETH در ۴,۳۵۱.۰۲ دلار با ۰.۸۷% افزایش، TRX در ۰.۳۳۷۷ دلار با ۱.۵۹% افزایش، AVAX در ۲۶.۰۲ دلار با ۳.۰۳% افزایش، SUI در ۳.۶۰ دلار با ۳.۹۲% افزایش، و TON در ۳.۱۳ دلار با ۱.۳۹% افزایش. این قیمتها نشاندهنده نوسانات مداوم بازار crypto است.
پروژههای crypto که NPMهای آلوده را دانلود نکردهاند همچنان در خطر
حتی اگر پروژههای crypto مستقیماً این بستهها را نصب نکرده باشند، به دلیل وابستگیهای پنهان، در معرض خطر هستند. هکرها احتمالاً یک crypto-clipper کاشتهاند، نوعی malware که آدرسهای کیفپول را در معاملات جایگزین میکند تا وجوه را منحرف کند. Charles Guillemet، مدیر فناوری Ledger، کاربران را به احتیاط در تأیید معاملات onchain تشویق کرده است. ۰xngmi، بنیانگذار pseudonym پلتفرم تحلیلی crypto DefiLlama، توضیح میدهد که تنها پروژههایی که پس از انتشار بسته آلوده بهروزرسانی کردهاند، در خطر هستند، و حتی در آن صورت، کاربران باید معامله مخرب را تأیید کنند. او پیشنهاد میکند تا زمانی که توسعهدهندگان بستههای بد را پاکسازی کنند، از وبسایتهای crypto اجتناب شود.
پلتفرمهایی مانند Ledger و MetaMask اعلام کردهاند که از حمله NPM ایمن هستند، به لطف لایههای دفاعی چندگانه. تیم Phantom Wallet گفته که از نسخههای آسیبپذیر استفاده نمیکند، و Uniswap تأکید کرده که هیچکدام از اپهایش در خطر نیست. Aerodrome، Blast، Blockstream Jade و Revoke.cash نیز از جمله پلتفرمهای crypto هستند که اعلام کردهاند تحت تأثیر قرار نگرفتهاند. این حمله شما را فوراً خالی نمیکند، اما احتیاط ضروری است.
آخرین بهروزرسانیها و بحثهای داغ
بر اساس جستجوهای پرطرفدار در Google مانند «چگونه از حمله NPM در crypto محافظت کنیم؟» و «آخرین اخبار حمله malware به JavaScript»، کاربران به دنبال راههای ایمنسازی کیفپولها هستند. در Twitter، موضوعات داغ شامل پستهایی از حسابهای رسمی SEAL است که هشدار میدهند پتانسیل خسارت هنوز در حال بررسی است، و بحثهایی درباره اینکه چطور این حمله میتوانست میلیاردها دلار ضرر بزند اما تنها ۵۰ دلار سرقت کرد. آخرین بهروزرسانیها نشان میدهد که NPM بستههای آلوده را حذف کرده، اما کاربران باید وابستگیهای خود را بررسی کنند. همچنین، گزارشهایی از Ant Digital در مورد قرار دادن ۸ میلیارد دلار دارایی انرژی روی blockchain و توقف بخش NFT در Christie’s، بحثهای مرتبط با امنیت crypto را داغ کرده است.
در میان این تهدیدات امنیتی، انتخاب یک صرافی معتبر مانند WEEX میتواند امنیت و اعتبار را افزایش دهد. WEEX با تمرکز بر فناوری پیشرفته و لایههای حفاظتی قوی، به کاربران کمک میکند تا معاملات crypto خود را با اطمینان انجام دهند، و این برند با تعهد به نوآوری، جایگاه خود را به عنوان یک گزینه قابل اعتماد در بازار تثبیت کرده است.
سؤالات متداول (FAQ)
حمله NPM چیست و چگونه بر crypto تأثیر میگذارد؟
حمله NPM شامل نفوذ به حسابهای توسعهدهندگان و تزریق malware به کتابخانههای JavaScript است که کیفپولهای crypto مانند Ethereum و Solana را هدف قرار میدهد. این میتواند منجر به سرقت资金 شود، اما در این مورد، خسارت محدود بود.
چگونه میتوانم کیفپول crypto خود را از malware محافظت کنم؟
وابستگیهای نرمافزاری را بررسی کنید، از بهروزرسانیهای ایمن استفاده کنید، و معاملات را دوبار تأیید کنید. پلتفرمهایی مانند Ledger لایههای دفاعی دارند.
آیا پروژههای crypto هنوز در خطر هستند؟
بله، اگر بستههای آلوده را بهروزرسانی کرده باشید، اما malware حالا تقریباً خنثی شده. اجتناب از وبسایتهای مشکوک تا پاکسازی کامل توصیه میشود.
ممکن است شما نیز علاقهمند باشید
چرن SaaS | اخبار روزانه ریوایر
امسال کاهش نرخ بهره نخواهیم داشت
گزارش لحظهای کوینگکو: بررسی ۱۲ بازار بزرگ CEX، تنها ۳۲٪ از توکنهای جدید عملکرد بهتری نسبت به قیمت IEO دارند
حتی با وجود «شلیک از پشت میلههای زندان»، چرا شهرهای کوچک آمریکا با مراکز داده هوش مصنوعی مخالفند؟
ویژگی ده هزار کاراکتری هایپرلیکوئید: داستان معدن طلای میلیارد دلاری جفری
اتلتیکو مادرید در برابر افسی بارسلونا: ۹۰ دقیقه برای نابودی یک رویا یا نوشتن تاریخ
بازی برگشت لیگ قهرمانان اروپا بین اتلتیکو مادرید و بارسلونا یک بازی مرگ و زندگی است. ترکیب کامل اتلتیکو مادرید و افسی بارسلونا، آمار، جدول زمانی — بهعلاوه اینکه چه کسی دچار فشار میشود و چه کسی پیروز بیرون میآید.
آسمان حد و مرز ندارد: فقط یک لباس پوشیدن، موهای خود را کوتاه کردن و میلیاردها دلار به غریبهها دادن — داستان پشت هایپرلیکوید
نهادهای تأمین مالیشده توسط چین از استیبلکوینهای هنگکنگ عقبنشینی میکنند
گزارش صبح | استراتژی هفته گذشته ۱ میلیارد دلار برای افزایش داراییهای بیتکوین خود سرمایهگذاری کرد؛ آوه (Aave) پیشنهاد کمک مالی ۲۵ میلیون دلاری را تصویب کرد؛ کوینوان (Coinone) به دلیل نقض تعهدات ضد پولشویی تعطیل و جریمه شد.
یک «سکه میم» پیدا کردم که فقط در عرض چند روز سر به فلک کشید. راهنمایی دارید؟
TAO ایلان ماسک است که در OpenAI سرمایهگذاری کرد و Subnet سم آلتمن است.
دوران «توزیع گسترده کوین» در زنجیرههای عمومی به پایان میرسد
پس از محاصره تنگه هرمز، جنگ چه زمانی پایان خواهد یافت؟
قبل از استفاده از چت ایکس «WeChat غربی» ماسک، باید این سه سوال را بفهمید
X Chat این جمعه برای دانلود در اپ استور در دسترس خواهد بود. رسانهها پیش از این فهرست ویژگیها، از جمله پیامهای خود-تخریبشونده، جلوگیری از اسکرینشات، چتهای گروهی ۴۸۱ نفره، ادغام Grok و ثبتنام بدون شماره تلفن را پوشش دادهاند و آن را به عنوان «ویچت غربی» معرفی کردهاند. با این حال، سه سوال وجود دارد که به ندرت در هیچ گزارشی به آنها پرداخته شده است.
جملهای در صفحه راهنمای رسمی X وجود دارد که هنوز آنجا آویزان است: «اگر افراد داخلی مخرب یا خود X باعث شوند مکالمات رمزگذاری شده از طریق فرآیندهای قانونی افشا شوند، هم فرستنده و هم گیرنده کاملاً بیاطلاع خواهند بود.»
خیر. تفاوت در محل ذخیره کلیدها نهفته است.
در رمزگذاری سرتاسری سیگنال، کلیدها هرگز دستگاه شما را ترک نمیکنند. X، دادگاه یا هیچ شخص ثالثی کلیدهای شما را در اختیار ندارد. سرورهای سیگنال هیچ ابزاری برای رمزگشایی پیامهای شما ندارند؛ حتی اگر به آنها احضاریه هم ارسال شده باشد، همانطور که سوابق احضاریههای قبلی نشان میدهد، آنها فقط میتوانند مهرهای زمانی ثبت نام و زمان آخرین اتصال را ارائه دهند.
ایکس چت از پروتکل Juicebox استفاده میکند. این راهحل، کلید را به سه بخش تقسیم میکند که هر کدام روی سه سرور که توسط X اداره میشوند، ذخیره میشوند. هنگام بازیابی کلید با یک کد پین، سیستم این سه بخش را از سرورهای X بازیابی کرده و آنها را دوباره ترکیب میکند. مهم نیست که کد پین چقدر پیچیده باشد، X متولی واقعی کلید است، نه کاربر.
این پیشینه فنی «جمله صفحه راهنما» است: از آنجا که کلید روی سرورهای X است، X این قابلیت را دارد که بدون اطلاع کاربر به فرآیندهای قانونی پاسخ دهد. سیگنال این قابلیت را ندارد، نه به دلیل سیاست، بلکه به این دلیل که کلید را ندارد.
تصویر زیر سازوکارهای امنیتی سیگنال، واتساپ، تلگرام و ایکس چت را در شش بُعد مقایسه میکند. ایکس چت تنها مورد از این چهار موردی است که پلتفرم کلید را در اختیار دارد و تنها موردی است که فاقد Forward Secrecy است.
اهمیت Forward Secrecy در این است که حتی اگر یک کلید در یک نقطه زمانی خاص به خطر بیفتد، پیامهای قدیمی قابل رمزگشایی نیستند زیرا هر پیام یک کلید منحصر به فرد دارد. پروتکل Double Ratchet سیگنال به طور خودکار کلید را پس از هر پیام بهروزرسانی میکند، مکانیزمی که در X Chat وجود ندارد.
متیو گرین، استاد رمزنگاری دانشگاه جانز هاپکینز، پس از تجزیه و تحلیل معماری X Chat در ژوئن ۲۰۲۵ اظهار داشت: «اگر XChat را به عنوان یک طرح رمزگذاری سرتاسری در نظر بگیریم، این آسیبپذیری به نظر میرسد یک نوع بازی تمام عیار باشد.» او بعداً اضافه کرد: «من به این [پیامک/مسیج/...] بیشتر از آنچه به پیامهای مستقیم رمزگذاری نشده فعلی اعتماد دارم، اعتماد نخواهم کرد.»
از گزارش TechCrunch در سپتامبر ۲۰۲۵ تا زمان انتشار رسمی آن در آوریل ۲۰۲۶، این معماری هیچ تغییری نداشته است.
ماسک در توییتی در تاریخ ۹ فوریه ۲۰۲۶ متعهد شد که قبل از عرضه X Chat در X Chat، آزمایشهای امنیتی دقیقی روی آن انجام دهد و تمام کدها را متنباز کند.
از تاریخ راهاندازی ۱۷ آوریل، هیچ حسابرسی شخص ثالث مستقلی تکمیل نشده است، هیچ مخزن کد رسمی در GitHub وجود ندارد، برچسب حریم خصوصی App Store نشان میدهد که X Chat پنج یا چند دسته داده از جمله مکان، اطلاعات تماس و سابقه جستجو را جمعآوری میکند، که مستقیماً با ادعای بازاریابی "بدون تبلیغات، بدون ردیاب" در تضاد است.
نه نظارت مداوم، بلکه یک نقطه دسترسی مشخص.
برای هر پیام در X Chat، کاربران میتوانند انگشت خود را نگه داشته و گزینه «از گروک بپرس» را انتخاب کنند. وقتی روی این دکمه کلیک میشود، پیام به صورت متن ساده به Grok ارسال میشود و در این مرحله از حالت رمزگذاری شده به حالت رمزگذاری نشده تغییر میکند.
این طراحی یک آسیبپذیری نیست، بلکه یک ویژگی است. با این حال، سیاست حفظ حریم خصوصی X Chat مشخص نمیکند که آیا این دادههای متنی ساده برای آموزش مدل Grok استفاده خواهند شد یا اینکه Grok محتوای این مکالمه را ذخیره خواهد کرد. با کلیک فعال روی «از گروک بپرس»، کاربران داوطلبانه حفاظت رمزگذاری آن پیام را حذف میکنند.
همچنین یک مشکل ساختاری وجود دارد: این دکمه چقدر سریع از یک «ویژگی اختیاری» به یک «عادت پیشفرض» تغییر خواهد کرد؟ هرچه کیفیت پاسخهای گروک بالاتر باشد، کاربران بیشتر به آن اعتماد میکنند و این منجر به افزایش نسبت پیامهایی میشود که از حفاظت رمزگذاری خارج میشوند. قدرت رمزگذاری واقعی X Chat، در درازمدت، نه تنها به طراحی پروتکل Juicebox، بلکه به تعداد دفعات کلیک کاربران روی «از Grok بپرسید» نیز بستگی دارد.
نسخه اولیه X Chat فقط از iOS پشتیبانی میکند و در نسخه اندروید، بدون هیچ جدول زمانی، صرفاً عبارت «بهزودی» درج شده است.
در بازار جهانی گوشیهای هوشمند، اندروید حدود ۷۳٪ و iOS حدود ۲۷٪ را در اختیار دارند (IDC/Statista، ۲۰۲۵). طبق گزارش Demand Sage، از ۳.۱۴ میلیارد کاربر فعال ماهانه واتساپ، ۷۳ درصد در اندروید هستند. در هند، واتساپ ۸۵۴ میلیون کاربر را پوشش میدهد و بیش از ۹۵ درصد از کاربران آن از اندروید استفاده میکنند. در برزیل، ۱۴۸ میلیون کاربر وجود دارد که ۸۱ درصد آنها از اندروید استفاده میکنند و در اندونزی، ۱۱۲ میلیون کاربر وجود دارد که ۸۷ درصد آنها از اندروید استفاده میکنند.
تسلط واتساپ در بازار ارتباطات جهانی بر پایه اندروید بنا شده است. سیگنال، با حدود ۸۵ میلیون کاربر فعال ماهانه، عمدتاً به کاربرانی در کشورهای دارای اندروید که به حریم خصوصی اهمیت میدهند، متکی است.
ایکس چت این میدان نبرد را دور زد، با دو تفسیر ممکن. یکی از آنها بدهی فنی است؛ X Chat با Rust ساخته شده است و دستیابی به پشتیبانی بین پلتفرمی آسان نیست، بنابراین اولویت دادن به iOS ممکن است یک محدودیت مهندسی باشد. مورد دیگر یک انتخاب استراتژیک است؛ با توجه به اینکه iOS سهم بازار نزدیک به ۵۵ درصد را در ایالات متحده در اختیار دارد و پایگاه کاربری اصلی X در ایالات متحده است، اولویت دادن به iOS به معنای تمرکز بر پایگاه کاربری اصلی آنها به جای رقابت مستقیم با بازارهای نوظهور تحت سلطه اندروید و واتساپ است.
این دو تفسیر با هم تناقضی ندارند و به یک نتیجه منجر میشوند: اولین حضور X Chat باعث شد که این برنامه با میل و رغبت ۷۳ درصد از کاربران جهانی گوشیهای هوشمند را از دست بدهد.
این مطلب را برخی چنین توصیف کردهاند: ایکس چت، به همراه ایکس مانی و گروک، یک سهگانه را تشکیل میدهند که یک سیستم داده حلقه بسته موازی با زیرساخت موجود ایجاد میکند، که از نظر مفهومی شبیه به اکوسیستم ویچت است. این ارزیابی چیز جدیدی نیست، اما با عرضه X Chat، ارزش دارد که طرح کلی را دوباره بررسی کنیم.
ایکس چت، فرادادههای ارتباطی، از جمله اطلاعاتی در مورد اینکه چه کسی با چه کسی، برای چه مدت و با چه تعداد دفعاتی صحبت میکند، تولید میکند. این دادهها به سیستم هویت X جریان مییابند. بخشی از محتوای پیام از طریق ویژگی Ask Grok عبور میکند و وارد زنجیره پردازش Grok میشود. تراکنشهای مالی توسط X Money انجام میشود: آزمایش عمومی خارجی در ماه مارس تکمیل شد و در ماه آوریل برای عموم در دسترس قرار گرفت و امکان انتقال همتا به همتای فیات را از طریق ویزا دایرکت فراهم کرد. یکی از مدیران ارشد فایربلاکز برنامههای خود برای راهاندازی پرداختهای ارز دیجیتال تا پایان سال را تأیید کرد و در حال حاضر مجوزهای انتقال پول را در بیش از ۴۰ ایالت آمریکا دارد.
هر ویژگی WeChat در چارچوب نظارتی چین عمل میکند. سیستم ماسک در چارچوبهای نظارتی غربی فعالیت میکند، اما او همچنین به عنوان رئیس اداره بهرهوری دولت (DOGE) فعالیت میکند. این یک کپی از ویچت نیست؛ بلکه بازآفرینی همان منطق تحت شرایط سیاسی متفاوت است.
تفاوت این است که ویچت هرگز صراحتاً در رابط کاربری اصلی خود ادعا نکرده است که «رمزگذاری سرتاسری» دارد، در حالی که ایکس چت این کار را میکند. «رمزگذاری سرتاسری» از نظر کاربر به این معنی است که هیچکس، حتی پلتفرم، نمیتواند پیامهای شما را ببیند. طراحی معماری X Chat این انتظار کاربر را برآورده نمیکند، اما از این اصطلاح استفاده میکند.
ایکس چت سه خط داده «این شخص کیست، با چه کسی صحبت میکند و پولش از کجا میآید و به کجا میرود» را در دستان یک شرکت تجمیع میکند.
جملههای صفحه راهنما هرگز فقط دستورالعملهای فنی نبودهاند.
با ۵۰ برابر افزایش، و ارزش FDV بیش از ۱۰ میلیارد دلار، چرا RaveDAO؟
نسخه بتای جدید Noise را تجزیه و تحلیل کنید، چگونه میتوان این گرما را "زنجیرهای" کرد؟
آیا لابستر به گذشته پیوسته است؟ بررسی ابزارهای Agent Hermes که بهرهوری شما را تا ۱۰۰ برابر افزایش میدهند
اعلام جنگ علیه هوش مصنوعی؟ روایت آخرالزمانی پشت پردهی سکونت اولترامن در شعلههای آتش
چرن SaaS | اخبار روزانه ریوایر
امسال کاهش نرخ بهره نخواهیم داشت
گزارش لحظهای کوینگکو: بررسی ۱۲ بازار بزرگ CEX، تنها ۳۲٪ از توکنهای جدید عملکرد بهتری نسبت به قیمت IEO دارند
حتی با وجود «شلیک از پشت میلههای زندان»، چرا شهرهای کوچک آمریکا با مراکز داده هوش مصنوعی مخالفند؟
ویژگی ده هزار کاراکتری هایپرلیکوئید: داستان معدن طلای میلیارد دلاری جفری
اتلتیکو مادرید در برابر افسی بارسلونا: ۹۰ دقیقه برای نابودی یک رویا یا نوشتن تاریخ
بازی برگشت لیگ قهرمانان اروپا بین اتلتیکو مادرید و بارسلونا یک بازی مرگ و زندگی است. ترکیب کامل اتلتیکو مادرید و افسی بارسلونا، آمار، جدول زمانی — بهعلاوه اینکه چه کسی دچار فشار میشود و چه کسی پیروز بیرون میآید.
App