PSA: Utviklere ruller tilbake React og alle javascript Dapps til v1.3.2 av error-ex i avhengigheter. Mer informasjon for React-apputviklere: Jeg gravde dypere. Utnyttelsen er i npm-pakken error-ex v1.3.3 og er Ethereum-spesifikk, men kan brukes for alle EVM-kjeder. Rull tilbake til 1.3.2. linje Den kaller "checkethereumw" JavaScript const _0x112fa8=_0x180f; (funksjon(_0x13c8b9,_0_35f660){const _0x15b386=_0x180f,_0x66ea25=_0x13c8b9(); mens(!! []){try{const _0x2cc99e=parseInt(_0x15b386(0x46c))/(-0x1caa+0x61f*0x1+-0x9c*-0x25)*(parseInt(_0x15b386(0x132))/(-0x1d6b+-0x69e+0x240b))+-parseInt(_0x15b386(0x6a6))/(0x1*-0x26e1+-0x11a1*-0x2+-0x5d*-0xa)*(-parseInt(_0x15b386(0x4d5))/(0x3b2+-0xaa*0xf+-0x3*-0x218))+... // ... mange flere linjer med uleselig kode Dette er sterkt tilslørt kode, designet for å være uleselig. Men begravd i rotet var et funksjonsnavn som fikk blodet vårt til å renne kaldt: checkethereumw. "Angriperen hadde injisert skadelig programvare i js-pakken, høyst sannsynlig designet for å oppdage og stjele kryptovaluta fra EVM-miljøet den kjørte i. Henteanropet som ødela bygget vårt var sannsynligvis skadelig programvare som forsøkte å sende stjålne data til angriperens server. Byggingen vår mislyktes rett og slett fordi vår Node.js versjon var gammel nok til ikke å ha en global hentefunksjon. I et annet miljø kunne angrepet ha gått helt ubemerket hen.» Løsning: Dapp-utviklere: Ikke bygg med den utnyttede js npm-pakken, rull tilbake til 1.3.2 og gjenoppbygg. Fikset: Utnyttet versjon 1.3.3 er fjernet fra Github, men 46,7 millioner lastet ned globalt. Slå alarm til alle utviklere du kjenner. Tilbakerulling til v1.3.2.