Jako użytkownik Giza i Arma, jesteś chroniony przed atakiem na łańcuch dostaw, który miał miejsce. Co się stało: Napastnicy skompromitowali kilka powszechnie używanych pakietów npm (w tym simple-swizzle, chalk, ansi-regex), które są często wykorzystywane przez strony internetowe związane z kryptowalutami. Gdy użytkownicy wchodzą w interakcję z dotkniętymi stronami, złośliwy kod może potencjalnie przekierować legalne transakcje do portfeli kontrolowanych przez napastników. Dlaczego użytkownicy ARMA Agent pozostają chronieni: Zero podatnych zależności: Audyty bezpieczeństwa potwierdzają, że nie wykorzystujemy żadnego z 17 skompromitowanych pakietów w naszej bazie kodu. Zablokowane zależności: Utrzymujemy pnpm-lock.yaml, aby zablokować wszystkie zależności do dokładnych wersji. Nawet przy nowych wdrożeniach, nadal korzystamy z weryfikowanych, bezpiecznych wersji pakietów. Minimalna powierzchnia ataku: W przeciwieństwie do typowych projektów kryptowalutowych z ponad 100 zależnościami, wykorzystujemy tylko 17 starannie sprawdzonych pakietów z zaufanych źródeł. Brak dynamicznych zależności: Nie pobieramy ani nie aktualizujemy pakietów dynamicznie w czasie wykonywania. Wszystkie zależności są zablokowane i audytowane podczas procesów budowania. Architektura samodzielnego zarządzania: Nasze inteligentne konta z kluczami sesyjnymi egzekwują granice on-chain na wszystkich potencjalnych działaniach, co z natury ogranicza to, co jakikolwiek złośliwy kod mógłby osiągnąć, nawet jeśli byłby obecny. Ocena: Chociaż ten atak może wpłynąć na strony internetowe korzystające z skompromitowanych pakietów, które wprowadziły aktualizacje od czasu naruszenia, ARMA Agent pozostaje całkowicie izolowany od tej podatności. Nasze praktyki zarządzania zależnościami zapewniają ciągłą bezpieczną operację, podczas gdy dotknięte projekty naprawiają swoje skompromitowane pakiety. Wszystkie środki użytkowników i transakcje przez ARMA Agent pozostają bezpieczne.