據(jù)金融報道，慢霧創(chuàng)始人余弦在社交媒體上發(fā)布了一篇關(guān)于Ledger漏洞的文章，項目方需要注意： 1. Ledger下毒模塊在npmjs平臺上，前員工的npmjs賬號被捕劫持后，攻擊者可以隨意發(fā)布帶毒模塊版本。 2. 發(fā)布后的模塊將自動更新到j(luò)sdelivr CDN下。 3. LedgerConnect 直接引入jsdelivr CDN js文檔，非常粗糙，沒有文件哈希綁定，沒有嚴(yán)格控制引入版本。 4. 前員工仍然保留著如此重要的權(quán)限，內(nèi)部安全管理機(jī)制得到了很好的加強(qiáng)。最壞的原則是，如果內(nèi)部作惡，能否有效防止并及時發(fā)現(xiàn)。 5. 需要注意的是，雖然Ledger npmjs已被下毒版刪除，但目前jsdelivr上仍有有毒js文檔。 這些安全建議供其他項目方參考，不要偷懶，每一次安全事故都是復(fù)盤自己的好時機(jī)。