可以放心了！ 關於近日發生的 NPM 供應鏈攻擊事件，OneKey 產品與用戶均未受到影響。 為什麼？ （1）對於 App，我們有防供應鏈攻擊機制： 你可以理解為，我們只會鎖定使用過往穩定安全的「NPM 依賴代碼」。而新版本的代碼，我們不會貿然更新使用。 黑客要在軟件供應鏈投毒，必然是用新版本。因為如果修改了老版本的依賴代碼，代碼包的指紋就變了，大家立刻就能知道有變化。 專業地說，OneKey 的依賴代碼管理，採取鎖定版本的方式，避免因新版本依賴被投毒而受到波及。 同時，我們在軟件端建立了多重審核、指紋檢驗等安全發佈流程，減少潛在風險傳導。 （2）對於硬件錢包，我們有本地獨立驗證： 你可以在這次事件多個相關推文中看到，硬件錢包用戶不受影響。 因為對於硬件錢包而言，私鑰離線保存，所有交易簽名內容傳輸到本地離線的芯片獨立解模擬，而後物理上確認，所見即所得。 解析模擬的內容包括：方法、金額、接收方或授權方，以及合約名稱等等。 對於這一次前端「狸貓換太子」攻擊，被黑客攻擊的某些錢包會顯示正常的地址，實際是替換的黑客地址。 但是在硬件錢包獨立驗證下，你會看到真正的轉賬對象，立刻發現風險。 這裡的簽名安全技術，可以看評論區貼出的《OneKey 「簽名守護者 / SignGuard」技術：清晰交易預覽和實時釣魚檢測》瞭解更多。 OneKey 曾經發布過相關科普，講述我們是如何全面防禦供應鏈攻擊的，也可在評論區瞭解。 安全是一場永無止境的博弈。它是一個動態過程，而不是一個一勞永逸的結果。我們會繼續強化安全機制與預防風險，持續為用戶提供可信賴的使用環境。