Socket 發現,Injective 開發者套件的一次惡意更新在被下載超過 300 次後,導致私鑰和助記詞洩露。
根據安全公司 Socket 的說法,每週下載量約為 50,000 次的 @injectivelabs/sdk-ts npm 套件的 1.20.21 版本,在一名開發者的 GitHub 帳戶遭駭後被篡改。可疑的提交始於 6 月 8 日,隨後該惡意版本被固定在 Injective Labs npm 範圍下的其他 17 個套件中。
該安全公司表示,程式碼攔截了錢包金鑰生成功能,記錄私鑰和恢復助記詞,然後將數據編碼並透過偽造的遙測數據發送到一個模仿 Injective 伺服器的網址。
Socket 表示:「任何透過受影響套件傳遞的金鑰或助記詞都應視為已洩漏」,並警告說,即使應用程式未直接安裝該 SDK,也可能已暴露於風險之中。
雖然受駭的開發者迅速檢測到入侵並移除了惡意套件版本,但 Socket 表示該攻擊活動尚未完全得到控制。
Injective 執行長 Eric Chen 表示,受影響的 npm 發布版本已被棄用,問題已修復。Chen 補充說,Injective 網路上的資金沒有面臨風險,而 Socket 並未報告該惡意軟體是否導致資產被盜。
此次行動並未攻擊區塊鏈的密碼學或智慧合約,而是針對開發者用於建構錢包、交易所和應用程式的軟體。Security Alliance 在其第二季威脅報告中表示,攻擊者越來越頻繁地使用包括 GitHub、npm 和 Google 在內的平台來分發惡意軟體。
SEAL 表示,在某些事件中,受駭的機器被用來將惡意程式碼推送到公司自己的 GitHub 儲存庫中,使得一次 breaches 成為進一步分發的渠道。該報告還引用了更多結合資訊竊取器、遠端存取木馬和後門的跨平台惡意軟體套件,包括針對 macOS 的活動增加。
Axios npm 發布版本在 3 月遭受了類似的供應鏈攻擊,而 5 月發現的 TrapDoor 活動則針對從事加密貨幣、DeFi、人工智慧和安全領域的開發者。GitHub 也在 5 月 20 日披露,在一名員工設備遭駭後,內部儲存庫遭到未經授權的存取。
根據 CertiK 的數據,錢包遭駭是 2026 年上半年代價最高的加密貨幣攻擊方式,在 33 起案件中竊取了 4.44 億美元。
DefiLlama 數據顯示,作為 DeFi 應用程式的互操作性 Layer 1,Injective 的總鎖定價值從 2024 年中期的 7,100 萬美元高峰降低了 88%,降至 820 萬美元。今年早些時候,社群成員批准了 IIP-617,加速減少新 INJ 的發行,同時保留現有的代幣銷毀機制。

