Berita Gate News, pada tanggal 31 Maret, tim keamanan Mantis (Mist Fog) mengeluarkan peringatan. Hingga 31 Maret 2026, informasi publik menunjukkan bahwa axios@1.14.1 dan axios@0.30.4 telah dikonfirmasi sebagai versi berbahaya. Kedua versi tersebut telah disusupi dengan dependensi tambahan plain-crypto-js@4.2.1; dependensi ini dapat mengirimkan muatan berbahaya lintas platform melalui skrip postinstall.
Dampak insiden ini terhadap OpenClaw perlu dinilai per skenario: 1) skenario build dari kode sumber tidak terpengaruh; file kunci v2026.3.28 yang sebenarnya mengunci axios@1.13.5 / 1.13.6, sehingga tidak mengenai versi berbahaya; 2) skenario npm install -g openclaw@2026.3.28 memiliki risiko paparan historis, karena pada rantai dependensi terdapat openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Dalam jendela waktu ketika versi berbahaya masih tersedia online, kemungkinan dapat diurai menjadi axios@1.14.1; 3) hasil instal ulang saat ini menunjukkan bahwa npm telah mengembalikan resolusi ke axios@1.14.0, namun pada lingkungan yang sudah terpasang di dalam jendela serangan, tetap disarankan untuk memperlakukan sesuai skenario yang terdampak dan melakukan pemeriksaan IoC.
Mantis memperingatkan: jika ditemukan direktori plain-crypto-js, bahkan jika package.json di dalamnya telah dibersihkan, tetap harus dianggap sebagai jejak eksekusi berisiko tinggi. Untuk host yang menjalankan npm install atau npm install -g openclaw@2026.3.28 di dalam jendela serangan, disarankan segera melakukan rotasi kredensial dan menjalankan pemeriksaan sisi host.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Seorang pria California, Marlon Ferro, ditangkap karena mencuri dompet dingin senilai 250 juta dolar AS dan divonis 78 bulan
Berdasarkan pernyataan resmi Departemen Kehakiman AS (DOJ) yang dirilis pada 7 Mei, seorang pria asal California berusia 20 tahun, Marlon Ferro, dijatuhi hukuman 78 bulan penjara karena terlibat dalam skema penipuan rekayasa sosial berbasis aset kripto yang menjangkau seluruh negeri. Ia juga dijatuhi 3 tahun pelepasan bersyarat dengan pengawasan serta denda ganti rugi sebesar 2,5 juta dolar AS. Menurut pernyataan DOJ, kelompok kriminal tersebut mencuri lebih dari 250 juta dolar AS aset kripto dari sejumlah korban.
MarketWhisper5menit yang lalu
1inch market maker TrustedVolumes diserang, kerugian mencapai 5,87 juta dolar AS
Perusahaan keamanan blockchain Blockaid pada 6 Mei pukul 5:00 sore waktu Timur AS memposting di X untuk mengungkap bahwa penyedia likuiditas dan market maker TrustedVolumes untuk pengagregator decentralized exchange 1inch sedang mengalami serangan berkelanjutan. Hingga saat pernyataan Blockaid dirilis, kerugian telah mencapai sekitar 5,87 juta dolar AS.
MarketWhisper21menit yang lalu
Aave mencairkan posisi penyerang Kelp DAO, pemungutan suara Arbitrum menyetujui pembekuan kembali rsETH
Berdasarkan pengumuman Aave pada 7 Mei, pemungutan suara Arbitrum DAO terkait pembekuan dana terkait peristiwa rsETH pada 18 April telah mencapai kuorum, dengan lebih dari 1.600 alamat, dan memperoleh dukungan penuh dari komunitas. Pada hari yang sama, Aave, sesuai dengan prosedur tata kelola yang telah ditetapkan, menyelesaikan likuidasi sisa posisi rsETH pada protokol Aave terhadap penyerang Kelp DAO.
MarketWhisper38menit yang lalu
1inch Liquidity Provider TrustedVolumes Diserang di Ethereum, $5,87 Juta Dicuri
Menurut Blockaid, pembuat pasar dan resolver 1inch, TrustedVolumes, sedang diserang di Ethereum per 7 Mei. Kerentanan terdeteksi dalam sistem pemantauan keamanan Blockaid di dalam kontrak agen perdagangan custom RFQ yang dikendalikan oleh TrustedVolumes. Para penyerang telah mengekstrak
GateNews1jam yang lalu
Project Eleven memperingatkan: 6,9 juta BTC menghadapi ancaman kuantum, Q-Day paling cepat pada tahun 2030
Perusahaan rintisan keamanan pasca-kuantum Project Eleven pada 6 Mei merilis laporan yang memperingatkan bahwa terobosan komputer kuantum melewati titik kritis (Q-Day) untuk teknologi kripto modern kemungkinan paling cepat terjadi pada 2030, dan probabilitasnya lebih dari 50% pada 2033. Laporan tersebut juga memperkirakan bahwa, dengan kondisi tertentu, sekitar 6,9 juta keping Bitcoin menghadapi risiko serangan kuantum yang potensial, serta menyerukan ekosistem mata uang kripto untuk mempercepat proses migrasi anti-kuantum.
MarketWhisper2jam yang lalu
Project Eleven Peringatkan Q-Day Bisa Tiba Secepat Tahun 2030
Project Eleven menerbitkan laporan pada Rabu yang mengusulkan bahwa titik belok ketika komputer kuantum mematahkan enkripsi modern, yang sering disebut sebagai "Q-Day", bisa datang sedini 2030, dengan terobosan yang dijelaskan sebagai "lebih mungkin daripada tidak" pada 2033. Startup tersebut, yang berfokus pada keamanan pasca-kuantum
CryptoFrontier3jam yang lalu
