

安全机构Socket披露,Injective官方开发工具包在一次恶意更新后出现严重漏洞,导致用户私钥与助记词被非法获取。该异常版本在发布后已被下载超过300次,且通过17个相关软件包实现跨项目扩散。
经调查,@injectivelabs/sdk-ts npm包的1.20.21版本于6月8日左右在一名开发者账户被入侵后遭到篡改。攻击者利用伪造的遥测模块,在密钥生成环节植入后门,将钱包私钥及恢复短语编码并发送至仿冒服务器地址,形成隐蔽的数据外流通道。
该恶意版本不仅影响主包,还被注入到Injective Labs旗下共17个npm命名空间下的衍生工具中,构成多层传播链条。尽管受影响开发者迅速响应并移除异常版本,但安全团队警告,攻击活动可能尚未完全终止,存在持续风险。
Injective首席执行官Eric Chen表示,涉事版本已正式弃用,漏洞已在最新版本中修复。他强调,当前网络运行正常,用户资产未发生实际损失。然而,Socket方面并未确认是否存在资金被盗情况,仍建议所有曾使用该版本的用户立即更换密钥。
不同于以往直接攻击智能合约或链上协议,此次事件凸显出攻击者正将焦点转向开发者的构建工具。安全联盟报告显示,此类针对GitHub、npm等基础设施的恶意分发行为在第二季度显著上升。部分案例中,受感染设备甚至被用于向企业内部仓库推送恶意代码,形成闭环式传播。
今年3月,Axios的npm包曾遭遇相似攻击;5月曝光的TrapDoor行动则瞄准加密、DeFi、AI等多个领域开发者。此外,GitHub亦于5月20日通报一起员工终端失守导致内部仓库遭越权访问的事件。据CertiK统计,2026年上半年,钱包入侵成为最致命的攻击类型,33起事件造成4.44亿美元资产流失。
Injective作为支持去中心化金融应用的可互操作Layer 1网络,其总锁定价值自2024年中高位7100万美元回落至820万美元,跌幅达88%。近期社区通过IIP-617提案,优化代币发行节奏,在维持原有销毁机制基础上加快新INJ代币释放速度以提振生态活力。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.