Gate News 消息,3 月 31 日,慢雾安全团队发布预警,截至 2026 年 3 月 31 日,公开情报显示 axios@1.14.1 与 axios@0.30.4 已被确认为恶意版本。两者均被植入额外依赖 plain-crypto-js@4.2.1,该依赖可通过 postinstall 脚本投递跨平台恶意载荷。
该事件对 OpenClaw 的影响需分场景判断:1)源码构建场景不受影响,v2026.3.28 锁文件实际锁定的是 axios@1.13.5 / 1.13.6,未命中恶意版本;2)npm install -g openclaw@2026.3.28 场景存在历史暴露风险,原因是依赖链中存在 openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4,在恶意版本仍在线的时间窗口内,可能被解析到 axios@1.14.1;3)当前重新安装结果显示,npm 已回退解析到 axios@1.14.0,但在攻击窗口内安装过的环境,仍建议按受影响场景处理并排查 IoC。
慢雾提示,若发现 plain-crypto-js 目录存在,即使其中 package.json 已被清理,也应视为高风险执行痕迹。对攻击窗口内执行过 npm install 或 npm install -g openclaw@2026.3.28 的主机,建议立即轮换凭据并开展主机侧排查。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
加州男子 Marlon Ferro 盗窃冷钱包涉 2.5 亿美元,获刑 78 个月
根据美国司法部(DOJ)于 5 月 7 日发布的官方声明,20 岁加利福尼亚州男子 Marlon Ferro 因参与一起全国性加密资产社交工程诈骗案,被联邦法院判处 78 个月监禁,另判处 3 年监管释放及 250 万美元赔偿金。据司法部声明,该犯罪集团从多名受害者处窃取逾 2.5 亿美元的加密资产。
Market Whisper30 分钟前
1inch 做市商 TrustedVolumes 遭攻击,损失达 587 万美元
区块链安全公司 Blockaid 于美国东部时间 5 月 6 日在 X 发文披露,去中心化交易所聚合器 1inch 的流动性供应商及做市商 TrustedVolumes 正遭受持续攻击,截至 Blockaid 声明发布时,损失已达约 587 万美元。
Market Whisper46 分钟前
Aave 清算 Kelp DAO 攻击者头寸,Arbitrum 投票同意解冻 rsETH
根据 Aave 于 5 月 7 日公告,Arbitrum DAO 针对解冻 4 月 18 日 rsETH 事件相关 ETH 的投票已达法定人数,逾 1,600 个地址,获得社区一致支持。同日,Aave 依据既定治理程序,完成了对 Kelp DAO 攻击者在 Aave 协议上剩余 rsETH 头寸的清算。
Market Whisper1小时前
1inch 流动性提供商 TrustedVolumes 遭受以太坊攻击,窃取 587 万美元
据 Blockaid 称,截至 5 月 7 日,1inch 的做市商和解算方 TrustedVolumes 在以太坊上遭受攻击。该漏洞是在 Blockaid 的安全监控系统中被发现的,位于由 TrustedVolumes 控制的自定义 RFQ 交易代理合约内。攻击者已提取
GateNews2小时前
项目 Eleven 警告:690 万枚 BTC 面临量子威胁,Q-Day 最早 2030 年
后量子安全领域新创公司 Project Eleven 于 5 月 6 日发布报告,警告量子计算机突破现代加密技术的临界点(Q-Day)最早可能于 2030 年到来,到 2033 年发生的概率超过 50%。报告同时估计,在特定条件下,约 690 万枚比特币面临潜在量子攻击风险,并呼吁加密货币生态系统加快抗量子迁移进程。
Market Whisper2小时前
项目 Eleven 警告 Q-Day 可能最早于 2030 年到来
项目 Eleven 于周三发布了一份报告,提出量子计算机破解现代加密的拐点(通常称为“Q-Day”)可能最早在 2030 年到来,并且到 2033 年可能出现一种被描述为“更大概率”的突破。该初创公司专注于后量子安全
Crypto Frontier3小时前
