登录
注册
据 Woofun AI 消息,Injective 核心开发工具链遭遇严重供应链投毒,黑客利用 npm 后门机制窃取私钥,安全公司 Socket 确认该事件已引发潜在的助记词泄露危机。
攻击路径始于一个被攻破的开发者 GitHub 账户,黑客于 6 月 8 日对 @injectivelabs/sdk-ts 的 1.20.21 版本进行了恶意修改。该包原本每周拥有约 5 万次下载量,是构建 Injective 区块链的关键组件,如今却沦为窃取数据的工具。
Woofun AI 整理数据显示,恶意代码不仅存在于主包中,更扩散至 Injective Labs npm 目录下的另外 17 个包,导致风险范围远超直接安装 SDK 的用户。攻击机制极为隐蔽,代码会拦截生成钱包密钥的正常功能,秘密复制助记词或私钥,随后将数据编码并通过虚假网址传输至看似正常的 Injective 网络服务器。
尽管受影响版本已被标记为过时,但 Socket 指出该恶意程序已被下载 300 多次,且目前攻击尚未完全被控制,任何通过受影响包传递的密钥都应视为已泄露。
Injective 作为专为 DeFi 应用设计的可互操作 Layer 1 网络,其生态现状正面临严峻考验。该网络锁定的总价值从 2024 年中期的 7100 万美元暴跌至目前的 820 万美元,降幅高达 88%,显示出使用频率的显著下滑。Injective 首席执行官 Eric Chen 虽宣称问题已解决且网络资金未受威胁,但并未明确说明此次攻击是否已造成实际资金损失。此类攻击并非孤例,Security Alliance(SEAL)在第二季度威胁报告中警告,攻击者正越来越多地利用 GitHub、npm 和谷歌等合法平台传播恶意代码。SEAL 特别指出,针对 macOS 系统的跨平台恶意代码日益复杂,往往将信息窃取工具、远程访问木马及后门功能整合在同一包中。回顾近期案例,3 月份 Axios 的 npm 版本曾遭类似供应链攻击,5 月则爆发了名为 TrapDoor 的恶意活动,专门针对加密货币、DeFi、人工智能及安全领域的工程师。更令人警惕的是,5 月 20 日 GitHub 自身也遭入侵,因一名员工设备被攻破导致内部仓库遭未授权访问,这进一步暴露了开发基础设施的脆弱性。
随着攻击手段向供应链上游渗透,行业面临的财务风险正在急剧攀升。CertiK 在周一发布的报告指出,在 2026 年上半年,钱包被盗是成本最高的攻击类型。数据显示,该时期内共有 33 起此类攻击事件,累计导致 4.44 亿美元的资金损失。
这一趋势表明,单纯依赖区块链底层加密技术已不足以保障安全,开发工具链的完整性正成为新的防御前线。