Gate News сообщения, 31 марта, команда безопасности SlowMist опубликовала предупреждение; по состоянию на 31 марта 2026 года публичная информация показывает, что axios@1.14.1 и axios@0.30.4 были подтверждены как вредоносные версии. Обе были внедрены с дополнительной зависимостью plain-crypto-js@4.2.1; эта зависимость может доставлять кроссплатформенные вредоносные полезные нагрузки через скрипт postinstall.
Влияние данного инцидента на OpenClaw необходимо оценивать по сценариям: 1) в сценарии сборки исходного кода влияние отсутствует; фактически файл блокировки v2026.3.28 закрепляет axios@1.13.5 / 1.13.6, вредоносные версии не затронуты; 2) в сценарии npm install -g openclaw@2026.3.28 существует риск исторического раскрытия, поскольку в цепочке зависимостей присутствует openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4, и в промежуток времени, когда вредоносные версии все еще были доступны онлайн, возможно, что будет выполнено разрешение на axios@1.14.1; 3) согласно текущему результату повторной установки, npm откатил разрешение до axios@1.14.0, однако в средах, где установка выполнялась в пределах окна атаки, все еще рекомендуется обрабатывать по затронутым сценариям и провести проверку на IoC.
SlowMist предупреждает: если обнаружена директория plain-crypto-js, даже если в ней package.json уже очищен, это следует рассматривать как высокорисковый след выполнения. Для хостов, на которых в пределах окна атаки выполнялись npm install или npm install -g openclaw@2026.3.28, рекомендуется немедленно заменить учетные данные и провести проверку на стороне хоста.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Протокол Ekubo обворовали на $1,4 млн в WBTC через эксплойт на основе одобрений
По данным блокчейн-компании по кибербезопасности Blockaid, протокол Ekubo Protocol недавно потерял приблизительно 1,4 миллиона долларов в wrapped bitcoin (WBTC) после того, как злоумышленники использовали уязвимость в механизмах контроля доступа в контрактах EVM swap router. Злоумышленники обошли механизмы проверки платежей, чтобы вывести средства из кошельков
GateNews1ч назад
Жертвы терроризма со стороны Северной Кореи подали иск $71M против хакеров взлома Aave, добиваясь переосмысления атаки как мошенничества
Адвокаты жертв по трём делам о терактах, связанным с Северной Кореей, во вторник подали 30-страничный ответ, переосмыслив апрельский взлом Aave от 18 апреля как мошенничество, а не кражу — юридическое различие, которое может дать нападавшим право на похищенные в кредит криптоактивы. Жертвы стремятся вернуть приблизительно $71 mi
GateNews4ч назад
Крипто-кит подаёт в суд на Coinbase из-за замороженных $55M средств, украденных в DAI
Анонимный крипто-кит, которого идентифицировали как «D.B.», в понедельник подал иск против Coinbase и предполагаемого вора из-за отказа биржи вернуть замороженные средства, связанные с кражей криптовалюты в августе 2024 года, согласно материалам судебного дела. Истец потерял примерно на сумму 55 миллионов долларов DAI в инциден
CryptoFrontier5ч назад
Bitcoin Core раскрывает уязвимость, которая может позволить майнерам вызывать сбои (краши) узлов
Разработчики Bitcoin Core раскрыли уязвимость высокой степени критичности, которая может позволить майнерам удалённо выводить некоторые ноды Bitcoin из строя.
Кратко
Bitcoin Core раскрыл CVE-2024-52911, затрагивающий версии до 29.0, при этом более старые ноды всё ещё были доступны в интернете.
Майнерам требовались дорогие блоки с доказательством выполнения работы (proof-of-work), чтобы сработало
Cryptonews6ч назад
Война за контроль над приговором по атаке со стороны КНДР: $71 млн замороженных активов Aave — ссылаются на закон о противодействии терроризму
Рост эскалации вокруг атаки Северной Кореи: замороженные активы на 71,00 млн долларов в Aave переходят в третий раунд. Истцы изменили стратегию и через закон TRIA утверждают, что ETH относится к государственным активам Северной Кореи, подчеркивая мошенничество, а не кражу, чтобы обойти довод о том, что «вор не владеет похищенным имуществом». Одновременно они оспаривают standing и руководящую роль Aave. DeFi United привлекла более 328 млн долларов, средств достаточно для компенсации затронутым пользователям. Дело может стать ключевым прецедентом для правовой практики DeFi и DAO-управления.
ChainNewsAbmedia8ч назад
