最初关于大规模JavaScript节点包管理器（NPM）供应链攻击的报告引发了加密社区短暂但强烈的恐慌。在几个小时内，悲观者抓住了这一警告，推测用户资金可能会被广泛盗取。当时，Ledger首席技术官Charles Guillemet建议软件钱包用户停止链上交易，并建议硬件钱包用户仔细检查每一笔交易。

然而，随着时间的推移，攻击的规模变得更加清晰。恶意代码被揭示为高度针对性，受影响的应用程序数量有限。Uniswap、Metamask、OKX Wallet和Aave等知名项目均发布声明确认他们未受到影响。

广泛损害的缺乏迅速将最初的恐慌转变为辩论。一些松了一口气的加密用户开始质疑最初警告的严重性，有些人现在将其视为危言耸听，甚至可能是对软件钱包的间接攻击。这种观点认为，尽管警告突出了一个真实的漏洞，但可能被夸大以促进硬件钱包的使用。

虽然被盗加密货币的损失使一些人将这一漏洞称为“无关紧要”，但一些区块链安全专家坚持认为，这一事件应当成为所有软件开发者的警钟。这些专家一致认为，该事件验证了硬件钱包的安全模型，但他们也警告称，在某些情况下，使用此类钱包的用户仍可能因类似攻击而失去资金。

Cartesi的联合创始人Augusto Teixeira阐明了这一观点，他表示：“即使是硬件钱包用户也可能受到此类攻击的影响。例如，许多人在使用Metamask时使用他们的硬件钱包，而没有验证设备屏幕上的数据。随着交易变得更加复杂，人们盲目签署它们，这种情况变得越来越普遍。验证是困难的。”

Teixeira指出，硬件钱包缺乏重要功能，如地址簿或与JSON ABI的集成，这将使用户更好地理解他们在设备屏幕上签署的内容。

NPM事件质疑了开发者、包管理器和组织所使用的安全实践。加密行业的一些人认为，遵循最佳实践——例如同行评审和不允许开发者在未经批准的情况下将代码推送到生产环境——可以降低此类攻击的概率。此外，他们认为开发者应保持系统更新，并避免重复使用密码。

COTI的联合创始人兼首席执行官Shahaf Bar-Geffen认为，像NPM这样的包管理器应该使潜在攻击者的登录过程更加困难。他认为，“关键包安全框架”，可能由OpenJS基金会等机构监督，“可以要求强身份验证（2FA、范围API令牌）、可重现构建和对下载量超过高阈值的包进行年度第三方审计。”Bar-Geffen认为，这种分层验证模型将有助于激励最佳实践，同时保护关键基础设施。

为了避免依赖于一个可能有私利的人来揭露恶意活动，Cartesi的解决方案架构师Carlo Fragni鼓励项目关注研究人员使用的渠道。他还提倡“使用依赖分析工具，并在每次更新到新版本时对每个依赖项进行尽职调查。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。