Injective 表示,儘管 npm 包被植入後門竊取錢包密鑰,但資金並未面臨風險。
Injective 否認了攻擊者在其 18 個官方 npm 開發者包中植入竊取錢包密鑰的代碼後用戶資金遭到泄露的擔憂。.
與此同時,安全公司警告稱,此次攻擊暴露了通過該軟件傳輸的私鑰和助記詞。.
Injective公司怎麼了?
對 Injective 的攻擊始於兩個 惡意代碼更改 以“thomasRalee”的名義直接推送到主代碼分支,而“thomasRalee”是一位曾經爲該項目做出貢獻的真實開發者。
沒有代碼審查或拉取請求,這很不尋常,但這個漏洞使得不良代碼繞過了安全檢查。.
安全公司 Socket 發現的惡意代碼隱藏在 @injectivelabs/sdk-ts 的 1.20.21 版本中,該 TypeScript SDK 是錢包、交易所前端和交易機器人用來在 Injective 上構建應用的。.
據報道,攻擊者添加了一個僞造的分析文件,該文件會連接到 PrivateKey.fromMnemonic() 和 PrivateKey.fromHex(),這兩個函數都是用於將用戶的助記詞或原始私鑰轉換爲交易簽名密鑰的關鍵函數。.
惡意函數名爲 trac(),它聲稱收集用戶數據是爲了“SDK 優化”,但實際上,它竊取了軟件傳輸過程中使用的密鑰和助記詞,並將它們發送到遠程服務器。該服務器的地址僞裝成 Injective 的官方域名,使其更難被檢測到。.
被入侵的版本 1.20.21 被鎖定在其他 17 個官方 @injectivelabs 軟件包中,這意味着即使開發者只使用相關工具,他們的安全也可能受到威脅。.
儘管這些有問題的軟件包僅存在不到一個小時,但 下載量卻超過了300次。通常情況下,該SDK每週的下載量約爲5萬次。爲了替換這些有問題的軟件包,官方發佈了乾淨的版本,版本號爲1.20.23。
Injective Labs 週四在 X 上發帖直接dent並立即得到解決。 回應了這起dent,稱該問題已
Injective官方賬號發文稱:“沒有任何資金面臨風險,也沒有任何資金被盜用。”該公司首席執行官陳偉羣(Eric Chen)另行表示,受影響的 npm版本 已被棄用,問題已修復。
Socket 表示,在其報告發布時,該行動尚未完全得到控制,也沒有說明是否有任何資產被盜。.
用戶如何保護自己的錢包?
建議開發者立即升級到乾淨的 1.20.23 或更高版本,以移除惡意代碼。StepSecurity 提醒 ,任何應用程序拉取了惡意版本或之後緩存的副本的用戶,都應將應用程序訪問過的錢包密鑰視爲已泄露,並進行輪換。
建議用戶檢查 package-lock.json 或 yarn.lock 文件中是否有對版本 1.20.21 的任何引用,因爲其他軟件包可能已經matic引入了該版本。.
CertiK 報告稱,2026 年上半年,錢包被盜dent共發生 33 起,損失金額達 4.445 億美元。.
最頂尖的加密貨幣專家都在閱讀我們的簡報。想 加入他們?








