Odaily星球日報訊針對「NPM 供應鏈攻擊」事件，OKX Wallet 表示，OKX 始終將系統安全置於首位，在產品研發與上線全流程中嚴格管控第三方組件使用風險。經內部核查與評估，OKX APP 是基於安卓與iOS 原生框架開發，不存在相關安全風險；OKX 外掛程式、Web 應用程式及行動裝置DApp 瀏覽器皆未使用受影響版本的第三方元件，平台各項服務運作正常，使用者可繼續安心使用。

據悉，攻擊者透過釣魚郵件（偽裝為npmjs 支援）竊取了開發者qix 的NPM 帳戶憑證，進而向其發布的18 個熱門JavaScript 套件（包括chalk、debug-js 等，週下載量超20 億次）注入惡意程式碼。此攻擊被認為是史上最大規模的供應鏈攻擊。

值得注意的是， 該惡意程式碼並未嘗試在本地環境植入木馬或竊取文件，而是專門針對Web 3 場景：如果偵測到瀏覽器環境中存在window.ethereum，便會劫持交易請求。惡意程式碼透過篡改瀏覽器的Ethereum 和Solana 交易請求，將資金重新導向至攻擊者控制的位址（如以太坊位址0xFc4a4858... ），並透過取代JSON 回應中的加密位址竊取資產。儘管頁面顯示正常交易地址，但實際資金被轉至攻擊者地址。