据金融报道，慢雾创始人余弦在社交媒体上发布了一篇关于Ledger漏洞的文章，项目方需要注意： 1. Ledger下毒模块在npmjs平台上，前员工的npmjs账号被捕劫持后，攻击者可以随意发布带毒模块版本。 2. 发布后的模块将自动更新到jsdelivr CDN下。 3. LedgerConnect 直接引入jsdelivr CDN js文档，非常粗糙，没有文件哈希绑定，没有严格控制引入版本。 4. 前员工仍然保留着如此重要的权限，内部安全管理机制得到了很好的加强。最坏的原则是，如果内部作恶，能否有效防止并及时发现。 5. 需要注意的是，虽然Ledger npmjs已被下毒版删除，但目前jsdelivr上仍有有毒js文档。 这些安全建议供其他项目方参考，不要偷懒，每一次安全事故都是复盘自己的好时机。