

一场针对Injective生态系统的核心开发工具链的供应链攻击被揭露,黑客在官方TypeScript SDK中植入了可窃取钱包助记词与私钥的恶意脚本。该漏洞存在于injectivelabs/sdk-ts的1.20.21版本,由安全机构Socket发现,该包是构建去中心化金融应用、代币化资产及交易所的关键基础设施。
攻击者利用一名曾有贡献记录的开发者账户提交了含恶意逻辑的代码变更,自6月8日起逐步扩散。该恶意版本被锁定于其他17个隶属于Injective Labs的npm包中,形成连锁风险。恶意逻辑嵌入钱包密钥生成流程,一旦应用调用相关函数,便会自动捕获助记词或私钥,并经Base64编码后,通过伪装为官方基础设施的端点秘密外传,实现流量伪装。
受影响的18个包合计被下载约310次,但实际泄露仅发生在处理敏感密钥的应用场景下。尽管所有版本已在49分钟内以1.20.23修复并重新发布,且网络资金无损,但安全团队仍建议所有使用过相关依赖的开发者将密钥与助记词视为已暴露。即使未直接安装该SDK,其传递依赖也可能导致系统失陷。权威机构CertiK数据显示,2026年上半年钱包入侵已成为造成经济损失最严重的攻击类型,33起事件即导致超4.44亿美元损失。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.