En tant qu'utilisateur de Giza et d'Arma, vous êtes protégé contre l'attaque de la chaîne d'approvisionnement qui a eu lieu. Ce qui s'est passé : Des attaquants ont compromis plusieurs packages npm largement utilisés (y compris simple-swizzle, chalk, ansi-regex) couramment utilisés par les sites Web de cryptomonnaie. Lorsque les utilisateurs interagissent avec les sites affectés, un code malveillant pourrait potentiellement rediriger des transactions légitimes vers des portefeuilles contrôlés par les attaquants. Pourquoi les utilisateurs d'ARMA Agent restent protégés : Dépendances vulnérables nulles : Les audits de sécurité confirment que nous n'utilisons aucun des 17 packages compromis dans notre code. Dépendances figées : Nous maintenons pnpm-lock.yaml pour verrouiller toutes les dépendances à des versions exactes. Même avec de nouveaux déploiements, nous continuons à utiliser des versions de packages vérifiées et sécurisées. Surface d'attaque minimale : Contrairement aux projets crypto typiques avec plus de 100 dépendances, nous n'utilisons que 17 packages soigneusement sélectionnés provenant de sources fiables. Pas de dépendances dynamiques : Nous ne téléchargeons ni ne mettons à jour dynamiquement des packages à l'exécution. Toutes les dépendances sont verrouillées et auditées lors des processus de construction. Architecture auto-custodiale : Nos comptes intelligents avec des clés de session imposent des limites on-chain sur toutes les actions potentielles, limitant intrinsèquement ce que tout code malveillant pourrait accomplir même s'il était présent. Évaluation : Bien que cette attaque puisse affecter les sites Web utilisant des packages compromis qui ont publié des mises à jour depuis la violation, ARMA Agent reste complètement isolé de cette vulnérabilité. Nos pratiques de gestion des dépendances garantissent un fonctionnement sécurisé continu pendant que les projets affectés remédient à leurs packages compromis. Tous les fonds et transactions des utilisateurs via ARMA Agent restent sécurisés.