$3B 威脅：惡意軟體在程式庫中的攻擊現況，現正針對以太坊智能合約

加密貨幣生態系正面臨日益嚴峻的危機，資安公司 ReversingLabs 揭露了一個高階攻擊向量：威脅行為者正利用開源 NPM 套件來注入惡意軟體，直接攻擊以太坊智能合約。這一發現標誌著供應鏈攻擊對區塊鏈基礎設施的危險演進。

DeFi 的日益脆弱：$3B 2025年的$3 損失

威脅規模令人震驚。根據 Global Ledger 的區塊鏈分析，駭客在2025年前六個月成功竊取了億美元，涉及119起獨立事件，比2024年整年增加了150%。這些損失反映出 DeFi 協議的高度互聯性，使其成為協調攻擊的容易目標，利用共同的漏洞。

一個值得注意的案例凸顯了這一風險：在7月，攻擊者入侵了 Base 區塊鏈上的 Arcadia Finance 的 Rebalancer 合約，透過操控交換參數，盜取了250萬美元。這起事件證明，即使是成熟的協議，在安全漏洞存在時也面臨重大風險。

NPM 惡意軟體攻擊：Zanki 與 ReversingLabs 如何揭露攻擊

ReversingLabs 的研究員 Karlo Zanki 在7月初的調查揭示了一個令人不安的模式。威脅行為者將惡意程式碼偽裝在看似合法的 NPM 套件中，最危險的變體是 colortoolsv2 和 mimelib2，這兩個都在7月上傳。

這些套件採用雙檔結構，旨在最大程度隱藏。主要組件是一個名為 index.js 的腳本，內含隱藏的惡意載荷，一旦安裝在開發者的專案中即會激活。這次攻擊的前所未有之處在於傳遞機制：惡意軟體不使用傳統的指揮控制伺服器，而是利用以太坊智能合約來存取和下載次階段的惡意軟體網址。

這種方法利用區塊鏈的不可變性和分散特性，作為一層混淆手段，繞過傳統安全掃描。

假 Solana 機器人：偽造的合法性如何騙過開發者

研究人員發現一個被入侵的 GitHub 儲存庫，標記為 solana-trading-bot-v2，內含惡意的 colortoolsv2 套件。該儲存庫對於一般觀察者來說看似可信——擁有數千次提交、多位活躍貢獻者和大量星標——但所有的合法性指標都是人為構建的。

任何安裝此套件的開發者都會在不知情的情況下授予攻擊者存取用戶錢包的權限，可能導致所有連結資金被盜。這次攻擊結合了三層欺騙：偽造的合法儲存庫、混淆的惡意程式碼，以及基於區塊鏈的指令傳遞。

為何智能合約成為攻擊基礎設施

這裡的創新代表了攻擊者方法的轉變。攻擊者不再維護易被取締的傳統 C2 基礎設施，而是利用以太坊智能合約作為永久且抗審查的惡意軟體分發網路。區塊鏈的去中心化特性確保這些指揮中心即使在執法行動下仍能持續運作。

根據 AMLBot CEO Slava Demchuk 的說法，存取控制漏洞和智能合約設計缺陷仍是主要的攻擊向量。DeFi 協議的組合式架構放大了損害，使攻擊者能在多個平台間串聯利用漏洞。

供應鏈滅絕事件：沒有人準備好面對

更廣泛的背景是更令人擔憂的：2025年見證了 NPM 攻擊活動的爆炸式增長。除了 colortoolsv2，研究人員在3月還記錄了 ethers-provider2 和 ethers-providerz 套件，全年還發現了大量資訊竊取器、下載器和 Droppers。

每一個新型惡意軟體都證明了威脅行為者已經從針對個人用戶轉向攻擊開發流程本身。一個惡意套件就能滲透數千個專案，將開源儲存庫變成分發渠道。

開發者現在必須做的事情

安全審核人員強調一個關鍵措施：在整合任何外部函式庫之前，開發者必須徹底評估套件來源、貢獻者歷史和程式碼真實性。信任開源的時代已經結束。

ReversingLabs 的發現顯示，以太坊的智能合約——原本設計為無需信任的基礎設施——已經以完全不同的方式變得「不可信」：攻擊者利用它們作為永久的惡意軟體分發渠道，並且深信區塊鏈的不可變性使得一旦部署就無法移除。