首页>DeFi > 正文

Injective 称npm包遭后门攻击窃取钱包密钥,但资金无风险

2026-07-11 15:08 loading...

Gate.io

币安Binance

币安交易所是全球加密货币交易所龙头,在手机上即可买卖比特币等数字货币!

官网注册  APP下载

Injective 遭攻击事件:恶意代码潜入 npm 包,用户密钥面临泄露风险

Injective 官方已否认用户资金受损,此前攻击者在该项目的 18 个官方 npm 开发包中植入了窃取钱包密钥的恶意代码。与此同时,安全公司警告称,此次攻击已导致通过该软件传输的私钥和助记词被暴露。

Injective 究竟发生了什么?

此次攻击始于两名恶意代码变更直接推送至主代码分支,提交者名为“thomasRalee”——这是一位真实开发者,此前曾为该项目贡献过代码。值得注意的是,此次变更没有经过代码审查或拉取请求,这种异常情况使得恶意代码绕过了安全检测。

安全公司 Socket 发现的恶意代码隐藏于 @injectivelabs/sdk-ts 的 1.20.21 版本中。该 TypeScript SDK 被钱包、交易所前端及交易机器人用于在 Injective 上构建应用。攻击者添加了一个伪造的分析文件,该文件钩住了 PrivateKey.fromMnemonic() 和 PrivateKey.fromHex() 这两个关键函数——它们负责将用户的助记词或原始私钥转换为交易签名密钥。

恶意函数名为 trackKeyDerivation(),声称是为“SDK 优化”收集用户数据,但实际上它窃取了通过该软件传输的密钥和助记词,并将其发送至远程服务器。服务器地址伪装成官方 Injective 域名,增加了检测难度。

被篡改的 1.20.21 版本被锁定在另外 17 个官方 @injectivelabs 包中,这意味着即使用户只使用了相关工具,也可能面临暴露风险。尽管恶意包仅存在不到一小时,但受污染的版本已被下载超过 300 次。而该 SDK 通常每周下载量约为 5 万次。清理后的版本 1.20.23 已发布以替换它们。

Injective Labs 周四在 X 平台直接回应了该事件,称问题已被识别并立即解决。“资金从未面临风险,也没有任何资金受损,”Injective 官方账号写道。公司 CEO Eric Chen 另表示,受影响的 npm 版本已被弃用,问题已修复。

Socket 称,截至其报告发布时,该攻击活动尚未完全得到控制,也未说明是否有资产实际被盗。

用户如何保护自己的钱包?

建议开发者立即升级至清洁版本 1.20.23 或更高版本,以移除恶意代码。StepSecurity 建议,任何应用程序若曾拉取过该恶意版本或缓存副本,应将其接触过的钱包密钥视为已暴露,并立即更换。用户还应检查 package-lock.json 或 yarn.lock 文件中是否引用了 1.20.21 版本,因为其他包可能自动将其引入。

CertiK 报告称,2026 年上半年发生的 33 起钱包入侵事件共导致 4.445 亿美元被盗。

Gate.io

欧易OKX

全球专业交易所,来欧易注册免费赢取新用户奖励!

官网注册  APP下载
声明:文章不代表币圈网观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险自担!转载请注明出处!侵权必究!
相关阅读相关阅读
热门资讯热门资讯
风险
提示

币圈网数据及信息均来源公开资料,不构成任何推荐或投资建议。炒币属投资行为,市场有风险,投资需谨慎。

粤ICP备2024291203号 Copyrigh© 币圈网 Alibtc.com