Explicação do atual hack do npm Em qualquer site que utilize esta dependência hackeada, dá uma oportunidade ao hacker de injetar código malicioso, então, por exemplo, quando você clica em um botão "trocar" em um site, o código pode substituir a transação enviada para a sua carteira por uma transação que envia dinheiro para o hacker. Mas na sua carteira você ainda veria a transação ruim e precisaria aprová-la, não é como se você fosse drenado instantaneamente. Além disso, isso só impactará sites que lançaram uma atualização desde que o pacote npm hackeado foi publicado, pois outros projetos terão a versão antiga. E a maioria dos projetos fixa suas dependências, então mesmo que eles lancem uma atualização, continuarão usando o antigo código seguro. Portanto, sua carteira está segura e a área de impacto efetiva é muito menor do que "todos os sites", mas como você não pode realmente saber se um projeto fixou as dependências, ou se eles têm alguma dependência baixada dinamicamente (muito improvável), é mais seguro evitar usar sites de criptomoeda até que isso se resolva e eles limpem os pacotes ruins.