• 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

Injective SDK 遭供应链攻击

2026-07-10 17:37:20
收藏

攻击如何展开

一次供应链攻击侵入了 Injective($INJ)开发者生态系统,黑客在一个广泛使用的 npm 包中植入了窃取钱包信息的恶意软件。安全公司 Socket 在 injectivelabs/sdk-ts 包的 1.20.21 版本中发现了这一威胁,该包是用于在 Injective 区块链上构建应用的官方 TypeScript SDK。

Injective SDK 是一个 TypeScript/JavaScript 开发工具包,用于在 Injective 区块链上构建 DeFi 应用、代币化资产和去中心化交易所。该包每周下载量约 5 万次,被用于开发加密货币钱包、交易机器人、去中心化交易所和支付工具的开发者所使用。

恶意功能是通过一个开发者的 GitHub 账户提交的代码引入的,该账户此前对该仓库有多项贡献记录。可疑提交始于 6 月 8 日,此后恶意版本被锁定在 Injective Labs npm 范围内的其他 17 个包中。恶意代码钩入了正常用于生成钱包密钥的函数,每当开发者的应用使用这些函数时,它都会秘密复制助记词或私钥。被盗数据经过 Base64 编码,并通过 POST 请求悄悄发送到一个伪装成 Injective Labs 公共基础设施的端点,将外泄流量与正常网络活动混在一起。

影响范围与开发者指导

此次攻击的影响超出了核心 SDK 的直接用户。攻击者还在另外 17 个 Injective Labs 范围内的包中发布了版本 1.20.21,这些包依赖并锁定了恶意 SDK 版本,因此即使未直接安装 SDK 的开发者也可能受到波及。受感染的版本被下载了约 310 次,但下载并不意味着钱包密钥一定被泄露。危险代码只会在应用正在处理私钥或恢复短语时运行。

Injective 首席执行官 Eric Chen 表示该问题已得到修复,npm 上的受影响版本已弃用,并补充称网络上的资金没有风险。Socket 未报告该恶意软件是否导致了资产被盗。所有 18 个受影响包在大约 49 分钟内以版本 1.20.23 重新发布为干净版本。尽管响应迅速,Socket 还是敦促开发者应将所有通过受影响包处理过的密钥或助记词视为已泄露,并警告称即便未直接安装 SDK,应用也可能已经暴露。开发者应转移资金、更换密钥和助记词,并检查传递依赖,仅审计直接依赖并不足够。

此次攻击并非针对区块链的密码学或智能合约,而是针对开发者用于构建钱包、交易所和应用的软件。根据 CertiK 的数据,钱包入侵已成为 2026 年上半年造成经济损失最大的攻击类别,仅 33 起事件就造成了超过 4.44 亿美元的损失。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
更多新闻
自选
我的自选
查看全部
市值 价格 24h%