Gate News 消息,3 月 31 日,慢雾安全团队发布预警,截至 2026 年 3 月 31 日,公开情报显示 axios@1.14.1 与 axios@0.30.4 已被确认为恶意版本。两者均被植入额外依赖 plain-crypto-js@4.2.1,该依赖可通过 postinstall 脚本投递跨平台恶意载荷。
该事件对 OpenClaw 的影响需分场景判断:1)源码构建场景不受影响,v2026.3.28 锁文件实际锁定的是 axios@1.13.5 / 1.13.6,未命中恶意版本;2)npm install -g openclaw@2026.3.28 场景存在历史暴露风险,原因是依赖链中存在 openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4,在恶意版本仍在线的时间窗口内,可能被解析到 axios@1.14.1;3)当前重新安装结果显示,npm 已回退解析到 axios@1.14.0,但在攻击窗口内安装过的环境,仍建议按受影响场景处理并排查 IoC。
慢雾提示,若发现 plain-crypto-js 目录存在,即使其中 package.json 已被清理,也应视为高风险执行痕迹。对攻击窗口内执行过 npm install 或 npm install -g openclaw@2026.3.28 的主机,建议立即轮换凭据并开展主机侧排查。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Circle因$280M Drift协议漏洞的应对问题遭集体诉讼
Circle Internet Group因未能迅速阻止涉及其跨链转账协议(Cross-Chain Transfer Protocol)的$280 百万级漏洞而面临集体诉讼,被指公司本可以介入。该诉讼凸显了Circle此前冻结资金的能力,引发了对其应对速度的质疑。
GateNews3 分钟前
以太坊基金会:Ketman 计划六个月内识别 100 名北韩特工
根据以太坊基金会于 2026 年 4 月 17 日(周四)发布的 ETH Rangers 计划回顾报告,由以太坊基金会资助的 Ketman 计划在六个月资助期内识别了 100 名使用虚假身份渗透 Web3 组织的北韩 IT 工作者,并联系了约 53 个加密项目,提醒其可能雇用了活跃的北韩特工。
Market Whisper24 分钟前
吉尔吉斯斯坦加密货币交易所 Grinex 遭遇 $15M 级黑客攻击,暴露规避俄罗斯制裁网络
格林奈克斯(Grinex)遭受了一次网络攻击,这是一家位于吉尔吉斯斯坦的加密货币交易所。该事件暴露出一个据称帮助俄罗斯规避制裁的网络。黑客盗走了 $15 百万美元,目标锁定格林奈克斯以及关联的 TokenSpot。人们认为格林奈克斯是被制裁的 Garantex 的延续,因此因其促成与被制裁实体相关的交易而受到审查。
GateNews1小时前
Polymarket 因内幕交易担忧审计建造者计划初创公司 - Unchained
Polymarket 已在发起对其 Builders Program(建造者计划)的审计,此前其发现第三方工具可能通过模仿成功交易来促成内幕交易。此次审查是在外界对这些应用可能与潜在市场操纵相关的关注后展开。
Unchained Crypto2小时前
遭遇 DNS 劫持后,CoW Swap 暂停协议:前端被重定向至恶意站点 - Unchained
CoW Swap 于 2026 年 4 月 14 日暂停了其协议,此前发生了 DNS 劫持事件,将用户重定向到钓鱼网站。平台的安全团队提醒用户撤销钱包授权。底层智能合约是安全的,但为谨慎起见,已暂停后端与 API。
Unchained Crypto2小时前
Circle 遭 Drift 集体诉讼,USDC 冻结义务引法律争议
由 Drift Protocol 投资者 Joshua McCollum 代表逾 100 名成員,於週三在美国马薩諸塞州地方法院向 Circle 提起訴訟,指控后者於 4 月 1 日 Drift Protocol 约 2.8 亿美元被盜事件中,允許攻擊者透过跨链传输协议将约 2.3 亿美元 USDC 转移至以太坊。
Market Whisper3小时前
