登錄
註冊
據 Woofun AI 消息,Injective 核心開發工具鏈遭遇嚴重供應鏈投毒,黑客利用 npm 後門機制竊取私鑰,安全公司 Socket 確認該事件已引發潛在的助記詞泄露危機。
攻擊路徑始於一個被攻破的開發者 GitHub 賬戶,黑客於 6 月 8 日對 @injectivelabs/sdk-ts 的 1.20.21 版本進行了惡意修改。該包原本每週擁有約 5 萬次下載量,是構建 Injective 區塊鏈的關鍵組件,如今卻淪爲竊取數據的工具。
Woofun AI 整理數據顯示,惡意代碼不僅存在於主包中,更擴散至 Injective Labs npm 目錄下的另外 17 個包,導致風險範圍遠超直接安裝 SDK 的用戶。攻擊機制極爲隱蔽,代碼會攔截生成錢包密鑰的正常功能,祕密複製助記詞或私鑰,隨後將數據編碼並通過虛假網址傳輸至看似正常的 Injective 網絡服務器。
儘管受影響版本已被標記爲過時,但 Socket 指出該惡意程序已被下載 300 多次,且目前攻擊尚未完全被控制,任何通過受影響包傳遞的密鑰都應視爲已泄露。
Injective 作爲專爲 DeFi 應用設計的可互操作 Layer 1 網絡,其生態現狀正面臨嚴峻考驗。該網絡鎖定的總價值從 2024 年中期的 7100 萬美元暴跌至目前的 820 萬美元,降幅高達 88%,顯示出使用頻率的顯著下滑。Injective 首席執行官 Eric Chen 雖宣稱問題已解決且網絡資金未受威脅,但並未明確說明此次攻擊是否已造成實際資金損失。此類攻擊並非孤例,Security Alliance(SEAL)在第二季度威脅報告中警告,攻擊者正越來越多地利用 GitHub、npm 和谷歌等合法平臺傳播惡意代碼。SEAL 特別指出,針對 macOS 系統的跨平臺惡意代碼日益複雜,往往將信息竊取工具、遠程訪問木馬及後門功能整合在同一包中。回顧近期案例,3 月份 Axios 的 npm 版本曾遭類似供應鏈攻擊,5 月則爆發了名爲 TrapDoor 的惡意活動,專門針對加密貨幣、DeFi、人工智能及安全領域的工程師。更令人警惕的是,5 月 20 日 GitHub 自身也遭入侵,因一名員工設備被攻破導致內部倉庫遭未授權訪問,這進一步暴露了開發基礎設施的脆弱性。
隨着攻擊手段向供應鏈上游滲透,行業面臨的財務風險正在急劇攀升。CertiK 在週一發佈的報告指出,在 2026 年上半年,錢包被盜是成本最高的攻擊類型。數據顯示,該時期內共有 33 起此類攻擊事件,累計導致 4.44 億美元的資金損失。
這一趨勢表明,單純依賴區塊鏈底層加密技術已不足以保障安全,開發工具鏈的完整性正成爲新的防禦前線。