攻击如何展开
一次供应链攻击侵入了 Injective($INJ)开发者生态系统,黑客在一个广泛使用的 npm 包中植入了窃取钱包信息的恶意软件。安全公司 Socket 在 injectivelabs/sdk-ts 包的 1.20.21 版本中发现了这一威胁,该包是用于在 Injective 区块链上构建应用的官方 TypeScript SDK。
Injective SDK 是一个 TypeScript/JavaScript 开发工具包,用于在 Injective 区块链上构建 DeFi 应用、代币化资产和去中心化交易所。该包每周下载量约 5 万次,被用于开发加密货币钱包、交易机器人、去中心化交易所和支付工具的开发者所使用。
恶意功能是通过一个开发者的 GitHub 账户提交的代码引入的,该账户此前对该仓库有多项贡献记录。可疑提交始于 6 月 8 日,此后恶意版本被锁定在 Injective Labs npm 范围内的其他 17 个包中。恶意代码钩入了正常用于生成钱包密钥的函数,每当开发者的应用使用这些函数时,它都会秘密复制助记词或私钥。被盗数据经过 Base64 编码,并通过 POST 请求悄悄发送到一个伪装成 Injective Labs 公共基础设施的端点,将外泄流量与正常网络活动混在一起。
影响范围与开发者指导
此次攻击的影响超出了核心 SDK 的直接用户。攻击者还在另外 17 个 Injective Labs 范围内的包中发布了版本 1.20.21,这些包依赖并锁定了恶意 SDK 版本,因此即使未直接安装 SDK 的开发者也可能受到波及。受感染的版本被下载了约 310 次,但下载并不意味着钱包密钥一定被泄露。危险代码只会在应用正在处理私钥或恢复短语时运行。
Injective 首席执行官 Eric Chen 表示该问题已得到修复,npm 上的受影响版本已弃用,并补充称网络上的资金没有风险。Socket 未报告该恶意软件是否导致了资产被盗。所有 18 个受影响包在大约 49 分钟内以版本 1.20.23 重新发布为干净版本。尽管响应迅速,Socket 还是敦促开发者应将所有通过受影响包处理过的密钥或助记词视为已泄露,并警告称即便未直接安装 SDK,应用也可能已经暴露。开发者应转移资金、更换密钥和助记词,并检查传递依赖,仅审计直接依赖并不足够。
此次攻击并非针对区块链的密码学或智能合约,而是针对开发者用于构建钱包、交易所和应用的软件。根据 CertiK 的数据,钱包入侵已成为 2026 年上半年造成经济损失最大的攻击类别,仅 33 起事件就造成了超过 4.44 亿美元的损失。

资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种