Injective开发工具包遭恶意更新,私钥泄露风险引发行业警觉

Web3 2026-07-10 16:08:12
核心提要:Injective的npm开发工具包因遭恶意更新导致私钥与助记词外泄,已传播超300次。安全公司Socket指出,攻击者通过伪造遥测机制窃取敏感信息,并蔓延至17个关联包。项目方回应称网络资金无虞,但威胁仍存。

Injective SDK遭篡改致密钥外泄,多平台传播链暴露

安全机构Socket披露,Injective官方开发工具包在一次恶意更新后出现严重漏洞,导致用户私钥与助记词被非法获取。该异常版本在发布后已被下载超过300次,且通过17个相关软件包实现跨项目扩散。

恶意代码借道遥测功能实施数据窃取

经调查,@injectivelabs/sdk-ts npm包的1.20.21版本于6月8日左右在一名开发者账户被入侵后遭到篡改。攻击者利用伪造的遥测模块,在密钥生成环节植入后门,将钱包私钥及恢复短语编码并发送至仿冒服务器地址,形成隐蔽的数据外流通道。

攻击路径复杂:从单点渗透到生态级扩散

该恶意版本不仅影响主包,还被注入到Injective Labs旗下共17个npm命名空间下的衍生工具中,构成多层传播链条。尽管受影响开发者迅速响应并移除异常版本,但安全团队警告,攻击活动可能尚未完全终止,存在持续风险。

项目方确认修复,资金安全未受波及

Injective首席执行官Eric Chen表示,涉事版本已正式弃用,漏洞已在最新版本中修复。他强调,当前网络运行正常,用户资产未发生实际损失。然而,Socket方面并未确认是否存在资金被盗情况,仍建议所有曾使用该版本的用户立即更换密钥。

开发者成新目标:供应链攻击转向底层工具链

不同于以往直接攻击智能合约或链上协议,此次事件凸显出攻击者正将焦点转向开发者的构建工具。安全联盟报告显示,此类针对GitHub、npm等基础设施的恶意分发行为在第二季度显著上升。部分案例中,受感染设备甚至被用于向企业内部仓库推送恶意代码,形成闭环式传播。

行业危机频发:多起类似事件揭示系统性风险

今年3月,Axios的npm包曾遭遇相似攻击;5月曝光的TrapDoor行动则瞄准加密、DeFi、AI等多个领域开发者。此外,GitHub亦于5月20日通报一起员工终端失守导致内部仓库遭越权访问的事件。据CertiK统计,2026年上半年,钱包入侵成为最致命的攻击类型,33起事件造成4.44亿美元资产流失。

Injective作为支持去中心化金融应用的可互操作Layer 1网络,其总锁定价值自2024年中高位7100万美元回落至820万美元,跌幅达88%。近期社区通过IIP-617提案,优化代币发行节奏,在维持原有销毁机制基础上加快新INJ代币释放速度以提振生态活力。

上一篇 SWIFT前高管驳斥XRP整合传闻...
下一篇 Robinhood Layer-2引爆以...

声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!

币安 Binance
币安交易所是全球加密货币交易所,注册奖励 500U