لا يمكن تجاهل مخاطر هجوم سلسلة التوريد في المشاريع مفتوحة المصدر. في الآونة الأخيرة، اكتشفت مجتمع الأمان أن بعض الحزم المفتوحة المصدر الضارة تسرق المفاتيح الخاصة ومفاتيح API من خلال إخفاء التعليمات البرمجية الضارة، وغالبًا ما يتم دفن هذا النوع من الهجمات في طبقات الاعتماد من الطرف الثالث للمشروع، مما يجعل من الصعب الكشف عن أي شذوذ من خلال مراجعة رمز المصدر للمشروع الرئيسي.

بالنسبة لمطوري Web3، تعتبر هذه الأنواع من المخاطر خطيرة بشكل خاص - بمجرد تسرب المفتاح الخاص، قد يتم نقل الأصول على الفور. من حيث استراتيجيات الدفاع، يُنصح باختيار المكتبات المفتوحة المصدر ذات المصادر الموثوقة، والمجتمعات النشطة، وسجلات الصيانة الجيدة. بالنسبة للمنطق الأساسي للتشفير ووحدات إدارة المفاتيح، فإن أفضل طريقة هي إعادة تنفيذها بنفسك بدلاً من الاعتماد عليها مباشرة. بالإضافة إلى ذلك، فإن فحص إصدارات الحزم التابعة بانتظام، واستخدام أدوات تدقيق الرموز، وتقييد صلاحيات الاعتمادات، كلها تدابير تستحق التنفيذ.