一款加密货币钱包应用程序发现严重漏洞，用户价值数百万美元的加密货币面临随时被盗的风险。本周对代码进行独立安全审计的时候，在Komodo平台上运行的 Agama 钱包应用程序发现了漏洞。

当收到黑客攻击的警告时，Komodo团队利用同样的漏洞从受影响帐户中取出用户资金，将其转移到安全的储存中。为保护用户有效地侵入自己的应用程序，可谓是一种高风险策略。

在黑客染指资金之前，这一策略似乎已经挽救了大概 96 枚价值约 1,300 万美元的SegWitCoin（BTC）。

Komodo在一篇博客文章中介绍了其应对攻击的措施，以及受影响用户如何收回从他们的钱包里转走的资金。Komodo表示，“在发现漏洞之后，我们的网络安全团队利用同样的漏洞控制住大量受影响的种子，保护面临风险的资金。我们从易受攻击的钱包中移走了大约 800万Komodo币（KMD）和96个BTC，否则攻击者将染指这笔资金。

“代码为 RSgD2cmm3niFRu2kwwtrEHoHMywJdkbkeF（KMD）和 1GsdquSqABxP2i7ghUjAXdtdujHjVYLgqk（BTC）的安全钱包在Komodo团队的控制之下，资产可以由相关所有者收回。有关详情，请查看我们支持页面上的信息。”

然而，现在公司及其安全设置将面临严重的质疑，人们的注意力将转向其旗下其他应用程序的完整性。

该后门由负责npm JavaScript软件包资料库的团队所发现，他们察觉到electron原生系统通知库的恶意更新。

该团队发现，更新实际上是针对下游替代目标的供应链攻击。Agama 使用的是 EasyDEX-GUI，它直接加载了被感染的库。

负责发现攻击的团队表示，该脚本会收集包括密码在内的敏感信息，并将其记录在远程服务器上，使后续盗窃变得简单。

虽然Komodo看起来已轻松脱身，但该公司现在必须优先考虑安全性，以确保这种事情不会再次发生。