被攻破的Injective SDK通过虚假遥测泄露钱包密钥
2026-07-10 16:03 loading...
恶意更新致Injective开发工具包泄露私钥与助记词
Socket发现,Injective的一个开发工具包在遭受恶意更新后,导致私钥和助记词遭到泄露。该更新版本已被下载超过300次。
事件概述
Socket指出,一个被篡改的Injective npm软件包通过伪造的遥测技术,窃取了用户的私钥和助记词。该恶意版本被下载超过300次,并通过17个相关的Injective Labs软件包进一步传播。
事件细节
根据安全公司Socket的报告,每周下载量约5万次的@injectivelabs/sdk-ts npm软件包,其1.20.21版本在一名开发者的GitHub账户被入侵后遭到篡改。可疑的提交活动始于6月8日,随后该恶意版本被推广至Injective Labs npm命名空间下的17个其他软件包中。
安全公司表示,恶意代码拦截了钱包密钥生成功能,记录了私钥和恢复短语,并对数据进行了编码处理。随后,这些数据通过伪造的遥测信息,被发送至一个仿冒Injective服务器的网址。
Socket警告称:“任何在受感染软件包中使用的密钥或助记词都应被视为已泄露。”该公司同时提醒,即使应用程序未直接安装该SDK,也可能因此受到威胁。
尽管受影响的开发者迅速察觉并移除了恶意软件包版本,但Socket认为该攻击活动尚未完全得到控制。
项目方回应
Injective首席执行官Eric Chen表示,受影响的npm版本已被弃用,相关问题也已得到修复。Chen补充说,Injective网络上的资金并未面临风险,而Socket方面也未报告该恶意软件是否导致资产被盗。
针对性攻击:开发者成目标
与攻击区块链密码学或智能合约的方式不同,此次攻击瞄准的是开发者用于构建钱包、交易所和应用程序的开发工具。安全联盟在二季度威胁报告中指出,攻击者越来越多地利用GitHub、npm和Google等平台来分发恶意软件。
安全联盟表示,在某些事件中,受感染的计算机被用于将恶意代码推送到公司自身的GitHub仓库中,使一次入侵成为进一步传播的渠道。报告还列举了更多跨平台恶意软件包,这些软件包结合了信息窃取器、远程访问特洛伊木马和后门程序,其中针对macOS平台的攻击活动有所增加。
行业背景
今年3月,Axios的npm版本曾遭遇类似的供应链攻击。5月发现的TrapDoor攻击活动则将矛头指向了加密货币、去中心化金融、人工智能和安全领域的开发者。GitHub也于5月20日披露了一起事件:由于一名员工设备被入侵,其内部仓库遭到未经授权的访问。
根据CertiK的数据,钱包入侵是2026年上半年损失最惨重的加密货币攻击方式,在33起事件中,共造成4.44亿美元被盗。
Injective是一个面向去中心化金融应用的可互操作Layer 1网络。数据显示,该网络的总锁定价值已从2024年中期的7100万美元峰值跌至820万美元,跌幅达88%。今年早些时候,社区成员通过了IIP-617提案,该提案在保留现有代币销毁机制的同时,加快了新INJ代币发行的缩减速度。
相关阅读
-
BitGo推出比特币钱包量子风险防护工具矿业头条 2026-07-10 10:04
-
币安CEO:MiCA框架下70%欧盟提现转入自托管钱包矿业头条 2026-07-10 06:24
-
BitGo量子安全推出新型比特币钱包保护工具矿业头条 2026-07-10 06:13
-
BitGo将为比特币钱包推出抗量子安全工具币种百科 2026-07-10 02:32
-
以太坊钓鱼代币授权盗取钱包近100万美元USDTWEB3.0 2026-07-10 01:17
-
Plume机构收益金库正式上线币安钱包,开启11.7亿美元传统金融基金通道DeFi 2026-07-09 22:31
-
Tangem CTO:政府不应拥有你钱包的“一键关闭”权限矿业头条 2026-07-09 22:10
-
里程碑:波场网络钱包地址数突破3.92亿WEB3.0 2026-07-09 19:08
-
三星如何借助CoinMarketCap API赋能其区块链钱包矿业头条 2026-07-09 18:29
-
交易员钱包签名后误批钓鱼代币,损失100万美元币种百科 2026-07-09 18:25