Uitleg van de huidige npm-hack Op elke website die deze gehackte afhankelijkheid gebruikt, krijgt de hacker de kans om kwaadaardige code in te voegen. Dus bijvoorbeeld, wanneer je op een "swap"-knop op een website klikt, kan de code de transactie die naar je portemonnee wordt gestuurd vervangen door een transactie die geld naar de hacker stuurt. Maar in je portemonnee zou je nog steeds de slechte transactie zien en deze moeten goedkeuren; het is niet zo dat je meteen leeggeroofd wordt. Bovendien zal dit alleen invloed hebben op websites die een update hebben doorgevoerd sinds het gehackte npm-pakket werd gepubliceerd, aangezien andere projecten de oude versie zullen hebben. En de meeste projecten pinnen hun afhankelijkheden, dus zelfs als ze een update doorvoeren, blijven ze de oude veilige code gebruiken. Dus je portemonnee is veilig en het effectieve impactgebied is veel kleiner dan "alle websites", maar aangezien je niet echt kunt weten of een project afhankelijkheden heeft gepind, of dat ze een dynamisch gedownloade afhankelijkheid hebben (zeer onwaarschijnlijk), is het gewoon veiliger om crypto-websites te vermijden totdat dit voorbij is en ze de slechte pakketten opruimen.