Injective 官方表示,在攻击者向 18 个官方 npm 开发包植入窃取钱包密钥的代码后,用户资金并未面临风险。与此同时,安全机构警告称,此次攻击泄露了通过该软件传输的私钥和助记词。
攻击始于两次恶意代码变更,以真实开发者“thomasRalee”的名义直接推送至主代码分支,且未经代码审查或拉取请求,绕过了安全检查。安全公司 Socket 发现,恶意代码隐藏在 @injectivelabs/sdk-ts 的 1.20.21 版本中,该 TypeScript SDK 被钱包、交易所前端和交易机器人用于在 Injective 上构建应用。攻击者添加了一个虚假的分析文件,挂钩了 PrivateKey.fromMnemonic() 和 PrivateKey.fromHex() 这两个关键函数,用于将用户的助记词或原始私钥转换为交易签名密钥。恶意函数名为 trackKeyDerivation(),声称收集用户数据用于“SDK 优化”,实则将传递的密钥和助记词发送至伪装成官方 Injective 域名的远程服务器。
受感染的 1.20.21 版本被固定在另外 17 个官方 @injectivelabs 包中,意味着即使开发者仅使用相关工具也可能暴露。该恶意包仅可用不到一小时,但已被下载超过 300 次(SDK 每周正常下载量约 5 万次)。Injective 已发布干净的 1.20.23 版本替换。
Injective Labs 在 X 上回应称,问题已被立即识别并解决,“用户资金从未面临风险,也未受损”。CEO Eric Chen 表示受影响的 npm 版本已弃用。Socket 称攻击当时尚未完全遏制,未说明是否实际被盗资产。安全公司 StepSecurity 建议开发者立即升级至 1.20.23 或更高版本,并将该版本下处理的钱包密钥视为已泄露并轮换。CertiK 报告显示,2026 年上半年 33 起钱包安全事件共造成 4.445 亿美元损失。
免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。