1. 首页 > DAO

Injective开发工具包遭恶意更新,私钥泄露风险蔓延

Ai总结: Injective的开发工具包因被篡改而引发私钥与助记词泄露危机,超过300次下载受影响。攻击者通过伪造遥测机制窃取敏感信息,并扩散至17个关联包。项目方已弃用版本,但威胁仍在持续。

Injective SDK遭恶意注入,开发者密钥面临全面暴露

安全机构Socket披露,Injective生态中一个关键开发工具包在经历恶意更新后,导致用户私钥与恢复短语被非法获取。该异常版本已被下载逾300次,且通过多个关联组件实现跨包传播。

恶意代码借由远程监控机制实施数据窃取

报告显示,被攻陷的@injectivelabs/sdk-ts npm包在6月8日出现可疑提交记录,其1.20.21版本在开发者账户遭入侵后被植入恶意逻辑。该代码拦截钱包生成流程,自动捕获密钥与助记词,并以编码形式经伪造遥测通道发送至仿冒服务器。

攻击链路横向扩展,波及多个官方命名空间

该恶意版本随后被嵌入到Injective Labs旗下共17个npm包中,形成连锁式传播路径。尽管相关版本已被迅速移除,但部分应用仍可能在未察觉情况下集成此污染组件,构成潜在风险。

项目方紧急响应,资金安全暂未受冲击

Injective首席执行官Eric Chen确认,受影响版本已正式弃用,漏洞已在最新发布中修复。他强调,网络本身的资金并未受损,目前也无证据表明资产已被盗用,但警告所有曾使用该版本的密钥均应视为已泄露。

开发者成为新型攻击核心目标

不同于传统针对协议或合约的攻击,此次事件聚焦于开发者的构建工具链。攻击者利用GitHub、npm等平台分发恶意包,甚至将受感染主机作为跳板,反向推送恶意代码至企业仓库,形成闭环渗透。

行业安全形势趋紧,多起类似事件频发

今年3月Axios npm包曾遭遇供应链攻击,5月的TrapDoor活动则瞄准加密、DeFi、AI及安全领域开发者。此外,GitHub亦于5月20日通报内部仓库遭员工设备入侵导致的数据外泄。数据显示,2026年上半年,钱包入侵已成为造成最大损失的攻击类型,33起事件累计导致4.44亿美元被盗。

生态规模收缩,治理机制加速调整

Injective作为支持去中心化金融应用的Layer 1网络,其总锁定价值自2024年中峰值7100万美元降至当前820万美元,降幅达88%。为应对市场压力,社区已通过IIP-617提案,在维持原有代币销毁机制基础上,加快新INJ代币发行的减量节奏。

免责声明:本文所有内容均来源于第三方平台,所有内容不作任何类型的保证,不构成任何投资、不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。