Socket 發現,Injective 開發者套件的一次惡意更新在被下載超過 300 次後,已洩露私鑰和助記詞。根據Socket 發現,Injective 開發者套件的一次惡意更新在被下載超過 300 次後,已洩露私鑰和助記詞。根據

遭入侵的 Injective SDK 透過偽造遙測數據傳送錢包金鑰

2026/07/10 13:43
閱讀時長 5 分鐘
如需對本內容提供反饋或相關疑問,請通過郵箱 crypto.news@mexc.com 聯絡我們。

Socket 發現,Injective 開發者套件的一次惡意更新在被下載超過 300 次後,導致私鑰和助記詞洩露。

摘要
  • Socket 發現,一個受駭的 Injective npm 套件透過偽造的遙測數據竊取私鑰和助記詞。
  • 該惡意版本被下載超過 300 次,並透過 17 個相關的 Injective Labs 套件傳播。
  • CertiK 報告稱,2026 年上半年因錢包遭駭造成的損失達 4.44 億美元。

根據安全公司 Socket 的說法,每週下載量約為 50,000 次的 @injectivelabs/sdk-ts npm 套件的 1.20.21 版本,在一名開發者的 GitHub 帳戶遭駭後被篡改。可疑的提交始於 6 月 8 日,隨後該惡意版本被固定在 Injective Labs npm 範圍下的其他 17 個套件中。

該安全公司表示,程式碼攔截了錢包金鑰生成功能,記錄私鑰和恢復助記詞,然後將數據編碼並透過偽造的遙測數據發送到一個模仿 Injective 伺服器的網址。

Socket 表示:「任何透過受影響套件傳遞的金鑰或助記詞都應視為已洩漏」,並警告說,即使應用程式未直接安裝該 SDK,也可能已暴露於風險之中。

雖然受駭的開發者迅速檢測到入侵並移除了惡意套件版本,但 Socket 表示該攻擊活動尚未完全得到控制。

Injective 執行長 Eric Chen 表示,受影響的 npm 發布版本已被棄用,問題已修復。Chen 補充說,Injective 網路上的資金沒有面臨風險,而 Socket 並未報告該惡意軟體是否導致資產被盜。

開發者成為攻擊目標

此次行動並未攻擊區塊鏈的密碼學或智慧合約,而是針對開發者用於建構錢包、交易所和應用程式的軟體。Security Alliance 在其第二季威脅報告中表示,攻擊者越來越頻繁地使用包括 GitHub、npm 和 Google 在內的平台來分發惡意軟體。

SEAL 表示,在某些事件中,受駭的機器被用來將惡意程式碼推送到公司自己的 GitHub 儲存庫中,使得一次 breaches 成為進一步分發的渠道。該報告還引用了更多結合資訊竊取器、遠端存取木馬和後門的跨平台惡意軟體套件,包括針對 macOS 的活動增加。

Axios npm 發布版本在 3 月遭受了類似的供應鏈攻擊,而 5 月發現的 TrapDoor 活動則針對從事加密貨幣、DeFi、人工智慧和安全領域的開發者。GitHub 也在 5 月 20 日披露,在一名員工設備遭駭後,內部儲存庫遭到未經授權的存取。

根據 CertiK 的數據,錢包遭駭是 2026 年上半年代價最高的加密貨幣攻擊方式,在 33 起案件中竊取了 4.44 億美元。

DefiLlama 數據顯示,作為 DeFi 應用程式的互操作性 Layer 1,Injective 的總鎖定價值從 2024 年中期的 7,100 萬美元高峰降低了 88%,降至 820 萬美元。今年早些時候,社群成員批准了 IIP-617,加速減少新 INJ 的發行,同時保留現有的代幣銷毀機制。

世界盃預測,一單串多場,搏200倍收益!

世界盃預測,一單串多場,搏200倍收益!世界盃預測,一單串多場,搏200倍收益!

MEXC App 6.60.0 全新升級,巴西/法國/阿根廷等最多20場組合,一鍵輕鬆下注!

免責聲明: 本網站轉載的文章均來源於公開平台,僅供參考。這些文章不代表 MEXC 的觀點或意見。所有版權歸原作者所有。如果您認為任何轉載文章侵犯了第三方權利,請聯絡 crypto.news@mexc.com 以便將其刪除。MEXC 不對轉載文章的及時性、準確性或完整性作出任何陳述或保證,並且不對基於此類內容所採取的任何行動或決定承擔責任。轉載材料僅供參考,不構成任何商業、金融、法律和/或稅務決策的建議、認可或依據。

啟用身分,享多項專屬權益

啟用身分,享多項專屬權益啟用身分,享多項專屬權益

0 手續費、專屬客戶經理及虧損補貼等您解鎖