Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Promotions
Centre d'activités
Participez et gagnez des récompenses
Parrainage
20 USDT
Invitez des amis et gagnez des récompenses
Programme d'affiliation
Obtenez des commissions exclusives
Gate Booster
Développez votre influence et gagnez des airdrops
Annoncement
Mises à jour en temps réel
Blog Gate
Articles sur le secteur de la crypto
AI
Gate AI
Votre assistant IA polyvalent pour toutes vos conversations
Gate AI Bot
Utilisez Gate AI directement dans votre application sociale
GateClaw
Gate Blue Lobster, prêt à l’emploi
Gate for AI Agent
Infrastructure IA, Gate MCP, Skills et CLI
Gate Skills Hub
+10K compétences
De la bureautique au trading, une bibliothèque de compétences tout-en-un pour exploiter pleinement l’IA
GateRouter
Choisissez intelligemment parmi plus de 40 modèles d’IA, avec 0 % de frais supplémentaires
Je viens de voir un incident de sécurité de la chaîne d'approvisionnement assez grave. La bibliothèque cliente HTTP JavaScript la plus populaire, axios, a été attaquée.
Pour faire simple, l'attaquant a volé le jeton d'accès npm du principal mainteneur d'axios, puis a publié deux versions malveillantes contenant un cheval de Troie à distance (versions 1.14.1 et 0.3.4), ciblant macOS, Windows et Linux. Ces versions malveillantes sont restées sur le registre npm pendant environ 3 heures avant d'être retirées.
Ce qui est encore plus effrayant, c'est l'étendue de l'impact. Selon la société de sécurité Wiz, axios est téléchargé plus d'un milliard de fois par semaine, et il est présent dans environ 80 % des environnements cloud et de code. Cela signifie que le nombre de systèmes potentiellement affectés pourrait être très élevé. La société de sécurité Huntress a détecté la première infection seulement 89 secondes après la mise en ligne des versions malveillantes, et a confirmé qu'au moins 135 systèmes avaient été compromis durant la fenêtre d'exposition.
Ce qui est le plus intéressant, c'est que le projet axios a en réalité déjà déployé un mécanisme de publication de confiance OIDC et une preuve de traçabilité SLSA, ces mesures de sécurité modernes. Mais l'attaquant a quand même réussi à contourner complètement ces protections. L'enquête a révélé que le problème venait d'une mauvaise configuration — le projet, tout en activant OIDC, conservait également un ancien jeton npm à long terme, et npm privilégie par défaut ce jeton traditionnel lorsque les deux coexistent. En conséquence, l'attaquant n'avait pas besoin de contourner OIDC, il a simplement utilisé l'ancien jeton pour publier avec succès.
Que nous enseigne cette affaire ? Même les mécanismes de sécurité les plus récents et robustes sont inutiles si la configuration est incorrecte. L'exemple d'axios nous met en garde : la sécurité de la chaîne d'approvisionnement ne se limite pas à la technique, les détails d'exécution sont tout aussi cruciaux. Si votre projet ou application dépend de bibliothèques open source largement utilisées, il est peut-être temps de vérifier vos dépendances.