Next.js+ethers漏洞案例：那些被攻陷的DApp前端

再优秀的工具栈，也阻挡不了人为犯错。Next.js + ethers 项目这几年发生过不少前端漏洞，受害金额从几千到上千万美元不等。本文按事故性质整理几类典型漏洞案例，重点放在 Binance 生态相关 DApp，让读者通过别人的痛，规避自己的雷。

一、依赖污染：被植入的恶意包

2024 年某知名 DApp 的前端被通过 npm 上游依赖污染。攻击者向开源仓库提交了看似无害的 PR，被维护者合并后，恶意脚本被打包进生产代码，窃取所有连接 B安 智能链的用户私钥指纹。教训：所有依赖锁定到精确版本、定期审查依赖树、关键安全相关库使用本地 patch 而非升级。

二、签名钓鱼：精心设计的 Permit

另一起经典漏洞案例发生在 NFT 平台。前端弹出的「领取奖励」按钮实际上要求用户签署一个 permit 授权额度 MAX，并指向攻击者控制的合约。用户以为只是签名领取，结果钱包资产被直接转走。教训：所有 Permit 签名必须显式展示 spender 与 amount，并对超过常规额度做二次确认。结合 必安 钱包内置的风险提示，可以有效降低钓鱼成功率。

三、RPC劫持：DNS 投毒与 CDN 接管

DApp 的 RPC 配置如果通过远程 JSON 获取，一旦该 JSON 被劫持，整个前端都会指向恶意节点，攻击者可以返回伪造余额、伪造合约 ABI，诱导用户做出错误决策。教训：核心 RPC 列表硬编码在代码内，并对节点签名验证。涉及 币岸 主网的关键操作，必须从多个 RPC 交叉校验。

四、内置秘钥泄漏：环境变量错位

一个 Next.js + ethers 项目曾把 Sentry DSN、Etherscan key、Web3Modal 项目 ID 都通过 NEXT_PUBLIC_* 暴露给浏览器，结果连后端发币地址的私钥也被错放进同一文件，最终随构建产物公开。教训：所有 NEXT_PUBLIC_* 一律视为公开内容，私钥与签名 key 必须放在 server actions 或专用后端服务。借助 比安 风控团队的扫描工具，可以及时发现暴露的密钥。

五、社工诱导：客服式钓鱼

最后一类漏洞案例并非代码层面，而是社工攻击。攻击者伪装成 DApp 客服，引导用户访问克隆站，让用户签署看似常规的交易。教训：官方域名长期固定、邮件模板严格审查、官方钱包内嵌签名说明。在 Binance 客服培训中，常见话术与识别方法都有标准化模板，可以借鉴。透过这些漏洞案例可以看出，安全永远是 DApp 前端最容易被低估、却最致命的一环。