Injective npm 漏洞曝光:私钥泄露风险引发行业警觉

Injective 漏洞事件深度解析:恶意SDK潜入引发密钥外泄危机

Injective 官方确认,其18个官方npm包在近期遭遇恶意代码注入,攻击者通过伪造开发提交向核心SDK植入窃密程序,威胁用户钱包资产安全。尽管目前尚未发现资金实际损失,但安全团队指出,相关工具传输的私钥与助记词已遭暴露。

攻击路径揭秘:未经审查的代码推送绕过安全防线

此次入侵始于两名身份可疑的开发者直接将变更推送至主分支,其中名为“thomasRalee”的账户虽为真实贡献者,但本次提交未经过常规代码审查流程或拉取请求,形成严重安全缺口。

恶意函数伪装成优化模块,秘密捕获用户密钥

经安全公司Socket调查,问题代码藏于@injectivelabs/sdk-ts 1.20.21版本中。该SDK被广泛用于钱包、交易所前端及自动化交易系统。攻击者插入名为trackKeyDerivation()的伪造分析脚本,冒充性能监控功能,实则劫持PrivateKey.fromMnemonic()与PrivateKey.fromHex()函数,将用户输入的助记词和私钥实时上传至伪装为官方域名的远程服务器。

污染范围广泛:17个关联包同步受影响,传播速度惊人

受感染的1.20.21版本不仅存在于单一包中,更被锁定在其余17个官方npm包内,形成连锁风险。尽管该版本存在时间不足一小时,但已被下载超过300次,远超其日常周均5万次的流量水平。官方已发布1.20.23修复版并弃用旧版本,以阻断进一步扩散。

官方回应与后续风险警示

Injective Labs周四在X平台声明,问题已迅速识别并处理,强调“用户资金未受任何影响”。公司CEO Eric Chen补充,所有受影响版本均已停用,系统恢复正常。然而,Socket报告指出,攻击活动仍在持续监测中,尚无法确认是否有资产被盗。

用户应急防护指南:立即升级并重置密钥

安全机构建议所有开发者立即更新至1.20.23或更高版本,并对曾引用该版本的应用进行彻底排查。StepSecurity提醒,若项目曾缓存或引入过污染包,其关联钱包密钥应视为已泄露,须立即更换。同时,用户应检查package-lock.json或yarn.lock文件,防止因依赖传递再次引入高危版本。

行业警示:2026上半年33起入侵致4.4亿美元损失

CertiK最新报告显示,2026年上半年共发生33起钱包入侵事件,累计造成4.445亿美元资产流失,凸显去中心化生态中供应链安全的重要性。