Injective 表示,尽管 npm 包被植入后门窃取钱包密钥,但资金并未面临风险。
Injective 否认了攻击者在其 18 个官方 npm 开发者包中植入窃取钱包密钥的代码后用户资金遭到泄露的担忧。.
与此同时,安全公司警告称,此次攻击暴露了通过该软件传输的私钥和助记词。.
Injective公司怎么了?
对 Injective 的攻击始于两个 恶意代码更改 以“thomasRalee”的名义直接推送到主代码分支,而“thomasRalee”是一位曾经为该项目做出贡献的真实开发者。
没有代码审查或拉取请求,这很不寻常,但这个漏洞使得不良代码绕过了安全检查。.
安全公司 Socket 发现的恶意代码隐藏在 @injectivelabs/sdk-ts 的 1.20.21 版本中,该 TypeScript SDK 是钱包、交易所前端和交易机器人用来在 Injective 上构建应用的。.
据报道,攻击者添加了一个伪造的分析文件,该文件会连接到 PrivateKey.fromMnemonic() 和 PrivateKey.fromHex(),这两个函数都是用于将用户的助记词或原始私钥转换为交易签名密钥的关键函数。.
恶意函数名为 trac(),它声称收集用户数据是为了“SDK 优化”,但实际上,它窃取了软件传输过程中使用的密钥和助记词,并将它们发送到远程服务器。该服务器的地址伪装成 Injective 的官方域名,使其更难被检测到。.
被入侵的版本 1.20.21 被锁定在其他 17 个官方 @injectivelabs 软件包中,这意味着即使开发者只使用相关工具,他们的安全也可能受到威胁。.
尽管这些有问题的软件包仅存在不到一个小时,但 下载量却超过了300次。通常情况下,该SDK每周的下载量约为5万次。为了替换这些有问题的软件包,官方发布了干净的版本,版本号为1.20.23。
Injective Labs 周四在 X 上发帖直接dent并立即得到解决。 回应了这起dent,称该问题已
Injective官方账号发文称:“没有任何资金面临风险,也没有任何资金被盗用。”该公司首席执行官陈伟群(Eric Chen)另行表示,受影响的 npm版本 已被弃用,问题已修复。
Socket 表示,在其报告发布时,该行动尚未完全得到控制,也没有说明是否有任何资产被盗。.
用户如何保护自己的钱包?
建议开发者立即升级到干净的 1.20.23 或更高版本,以移除恶意代码。StepSecurity 提醒 ,任何应用程序拉取了恶意版本或之后缓存的副本的用户,都应将应用程序访问过的钱包密钥视为已泄露,并进行轮换。
建议用户检查 package-lock.json 或 yarn.lock 文件中是否有对版本 1.20.21 的任何引用,因为其他软件包可能已经matic引入了该版本。.
CertiK 报告称,2026 年上半年,钱包被盗dent共发生 33 起,损失金额达 4.445 亿美元。.
最顶尖的加密货币专家都在阅读我们的简报。想 加入他们?









