慢霧警告：'沙丘之蟲 3.0' 攻擊威脅加密錢包

Edgen Crypto·Dec 29 2025, 05:43

分享至

分享至

複製連結

關鍵要點

慢霧發布新的安全警告，指出“沙丘之蟲 3.0”（'Shai-Hulud 3.0'）的出現，這是複雜的軟體供應鏈攻擊的新變種。此威脅對加密項目和用戶資金構成重大風險，其基礎是此前與 Trust Wallet API 密鑰洩露相關的漏洞。

發現新威脅： 慢霧首席資訊安全官已發布針對 “沙丘之蟲 3.0”（'Shai-Hulud 3.0'）的安全警報，該攻擊是一種新型 NPM 供應鏈攻擊變體。
過往攻擊： 此前版本“沙丘之蟲 2.0”（'Shai-Hulud 2.0'）可能與 Trust Wallet API 密鑰洩露 事件有關，這凸顯了該威脅的嚴重性。
市場範圍風險： 該漏洞可能導致項目在審計程式碼時面臨廣泛的 開發延遲，並且如果被利用，將直接導致 重大經濟損失。

慢霧將“沙丘之蟲 3.0”標記為迫在眉睫的供應鏈威脅

慢霧首席資訊安全官（化名 23pds）發布了一項安全警告，指出強大的 NPM 供應鏈攻擊已再次出現，此次以新變種“沙丘之蟲 3.0”的形式。該警報呼籲加密項目和平台立即加強其安全防禦，以應對這一不斷演變的威脅。NPM 是一種廣泛使用的 JavaScript 包管理器，這意味著其供應鏈中的漏洞可能對 Web3 生態系統中眾多應用程式和服務產生深遠影響。

前身攻擊涉及 Trust Wallet API 洩露事件

新警告的嚴重性因其前身攻擊的歷史而更加突出。慢霧懷疑此前版本“沙丘之蟲 2.0”是導致 Trust Wallet API 密鑰洩露事件的攻擊載體。該事件表明，此類漏洞如何被利用來破壞關鍵基礎設施，暴露用戶數據並可能導致資產盜竊。這種關聯為該攻擊家族的破壞能力建立了明確的先例，將當前的警報從理論風險提升為已被證實存在的危險。

市場面臨開發延遲和利用風險

此安全威脅為更廣泛的加密市場帶來了重大的營運和財務風險。依賴 NPM 依賴項的項目可能被迫暫停或減緩開發進度，以進行廣泛的安全審計，這可能推遲路線圖里程碑和產品發布。對於投資者而言，主要擔憂是直接的經濟損失風險。成功利用“沙丘之蟲 3.0”漏洞可能使攻擊者從協議或其用戶那裡竊取資金，這很可能導致相關代幣價值急劇下跌，並對受影響的平台造成嚴重的長期聲譽損害。