Injective 称npm包遭后门攻击窃取钱包密钥,但资金无风险
2026-07-11 15:08 loading...
Injective 遭攻击事件:恶意代码潜入 npm 包,用户密钥面临泄露风险
Injective 官方已否认用户资金受损,此前攻击者在该项目的 18 个官方 npm 开发包中植入了窃取钱包密钥的恶意代码。与此同时,安全公司警告称,此次攻击已导致通过该软件传输的私钥和助记词被暴露。
Injective 究竟发生了什么?
此次攻击始于两名恶意代码变更直接推送至主代码分支,提交者名为“thomasRalee”——这是一位真实开发者,此前曾为该项目贡献过代码。值得注意的是,此次变更没有经过代码审查或拉取请求,这种异常情况使得恶意代码绕过了安全检测。
安全公司 Socket 发现的恶意代码隐藏于 @injectivelabs/sdk-ts 的 1.20.21 版本中。该 TypeScript SDK 被钱包、交易所前端及交易机器人用于在 Injective 上构建应用。攻击者添加了一个伪造的分析文件,该文件钩住了 PrivateKey.fromMnemonic() 和 PrivateKey.fromHex() 这两个关键函数——它们负责将用户的助记词或原始私钥转换为交易签名密钥。
恶意函数名为 trackKeyDerivation(),声称是为“SDK 优化”收集用户数据,但实际上它窃取了通过该软件传输的密钥和助记词,并将其发送至远程服务器。服务器地址伪装成官方 Injective 域名,增加了检测难度。
被篡改的 1.20.21 版本被锁定在另外 17 个官方 @injectivelabs 包中,这意味着即使用户只使用了相关工具,也可能面临暴露风险。尽管恶意包仅存在不到一小时,但受污染的版本已被下载超过 300 次。而该 SDK 通常每周下载量约为 5 万次。清理后的版本 1.20.23 已发布以替换它们。
Injective Labs 周四在 X 平台直接回应了该事件,称问题已被识别并立即解决。“资金从未面临风险,也没有任何资金受损,”Injective 官方账号写道。公司 CEO Eric Chen 另表示,受影响的 npm 版本已被弃用,问题已修复。
Socket 称,截至其报告发布时,该攻击活动尚未完全得到控制,也未说明是否有资产实际被盗。
用户如何保护自己的钱包?
建议开发者立即升级至清洁版本 1.20.23 或更高版本,以移除恶意代码。StepSecurity 建议,任何应用程序若曾拉取过该恶意版本或缓存副本,应将其接触过的钱包密钥视为已暴露,并立即更换。用户还应检查 package-lock.json 或 yarn.lock 文件中是否引用了 1.20.21 版本,因为其他包可能自动将其引入。
CertiK 报告称,2026 年上半年发生的 33 起钱包入侵事件共导致 4.445 亿美元被盗。
相关阅读
-
Tether储备钱包向币安发送4 BTC测试存款矿业头条 2026-07-11 13:44
-
Relay警告:Robinhood链上钱包中的诈骗代币正在消失DeFi 2026-07-10 22:44
-
加入GRVT代币与币安钱包助推活动,赢取奖励矿业头条 2026-07-10 22:00
-
莱杰研究人员发现瑞士硬件钱包卡存在安全漏洞!矿业头条 2026-07-10 21:59
-
比特币钱包获得新量子护盾币种百科 2026-07-10 21:56
-
Cwallet与Aptos合作,提升加密钱包服务WEB3.0 2026-07-10 16:03
-
被攻破的Injective SDK通过虚假遥测泄露钱包密钥WEB3.0 2026-07-10 16:03
-
BitGo推出比特币钱包量子风险防护工具矿业头条 2026-07-10 10:04
-
币安CEO:MiCA框架下70%欧盟提现转入自托管钱包矿业头条 2026-07-10 06:24
-
BitGo量子安全推出新型比特币钱包保护工具矿业头条 2026-07-10 06:13