1. 首页 > Web3.0

Injective开发工具包遭恶意更新,私钥泄露风险蔓延

Ai总结: Injective的SDK工具包因遭恶意更新导致私钥与助记词外泄,超过300次下载受影响。攻击通过伪造遥测机制传播,波及17个关联包。项目方已弃用版本并修复漏洞,但安全机构警告威胁仍存。

Injective生态遭供应链攻击:开发工具包被植入窃密代码

安全研究机构Socket披露,Injective官方开发工具包在一次恶意更新后,出现用户私钥和助记词泄露问题。该异常版本已被下载逾300次,且通过17个相关npm包实现跨项目扩散。

恶意代码借道遥测功能实施数据窃取

调查发现,一个被篡改的@injectivelabs/sdk-ts软件包利用伪装成正常行为的遥测机制,秘密捕获用户生成的钱包密钥与恢复短语。这些敏感信息经编码处理后,被发送至仿冒的Injective服务器地址,形成隐蔽的数据外流通道。

入侵源头指向开发者账户,攻击呈链式传播

该恶意版本源自一名开发者个人GitHub账户被攻破,自6月8日起出现可疑提交记录。随后,攻击者将篡改内容扩散至Injective Labs官方npm命名空间下的17个衍生软件包,构建出复杂的污染路径。尽管主包已迅速下架,但其影响范围仍在持续追踪中。

项目方回应:漏洞已修补,资金未受直接威胁

Injective首席执行官Eric Chen确认,受影响的1.20.21版本已被正式弃用,相关安全补丁已部署。他强调,当前网络基础设施及用户资产未遭受实际损失,且未有证据显示已有资金被盗。然而,安全团队仍建议所有曾使用该版本的用户立即更换密钥。

攻击转向开发者生态,工具链成为新战场

此次事件凸显攻击者策略转变——不再直接攻击协议层,而是聚焦于开发者工具链。通过控制开源仓库与包管理平台,攻击者可间接渗透大量应用系统。安全联盟指出,此类攻击正从单一平台向多平台扩展,包括macOS环境中的远程访问木马与信息窃取组件协同运作。

行业背景:供应链攻击频发,钱包入侵成最大损失源

2024年3月,Axios也曾遭遇类似npm包污染事件;5月曝光的TrapDoor攻击则瞄准金融、AI与安全领域开发者。同月,GitHub内部仓库因员工设备失守而遭未授权访问。数据显示,截至2026年上半年,钱包入侵已成为加密领域最致命的攻击类型,33起事件共造成4.44亿美元资产流失。

Injective作为支持去中心化金融应用的Layer 1网络,其总锁定价值由2024年中期的7100万美元降至820万美元,跌幅达88%。近期社区通过IIP-617提案,在维持原代币销毁机制基础上,进一步加快了新INJ代币发行节奏以增强激励机制。

免责声明:本文所有内容均来源于第三方平台,所有内容不作任何类型的保证,不构成任何投资、不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。