Hackerlar, Injective’in 50.000 İndirmeli SDK’sını Ele Geçirip Geliştiricilerin Cüzdan Seed’lerini Çaldı

Hackerlar, Injective’in 50.000 İndirmeli SDK’sını Ele Geçirip Geliştiricilerin Cüzdan Seed’lerini Çaldı

Hackerlar, haftada ortalama 50.000 indirme alan resmi Injective (INJ) geliştirici paketine cüzdan çalan bir kötü amaçlı yazılım enjekte etti; zehirli sürüm, hızla temizlenmeden önce 310 kez indirildi.

Öne Çıkan Noktalar:

  • Injective’in temel TypeScript kitinin bozulmuş bir sürümü, normal kullanım sırasında cüzdan seed ifadelerini ve özel anahtarları kopyaladı.
  • Kötü amaçlı sürüm, 18 pakete yayıldı, 310 kez indirildi ve bir saatten kısa süre yayında kaldı.
  • Araştırmacılar, etkilenen sürümlerden geçen tüm anahtarların ele geçirilmiş sayılması gerektiği uyarısında bulunuyor.

Injective SDK’sındaki Arka Kapının Ayrıntıları

Siber güvenlik firması Socket, perşembe günü yayımladığı açıklamada, npm üzerindeki @injectivelabs/sdk-ts paketinin 1.20.21 sürümünün, GitHub’da ele geçirilmiş bir katkıcı hesabı üzerinden değiştirilerek arka kapı yerleştirildiğini bildirdi. Bu kit, merkeziyetsiz finans odaklı bir layer-1 blokzinciri olan Injective üzerinde cüzdanlar, borsalar ve trading botları için temel yapı taşı niteliğinde.

Zararlı kod, masum bir kullanım analitiği bileşeni gibi davranarak, seed ifadesi veya ham özel anahtarı imzalama anahtarına dönüştüren fonksiyonlara kanca attı. Uygulamalar bu fonksiyonları her çağırdığında, gizlice ilgili sırları kaydetti, iki saniye boyunca toplu halde biriktirdi ve bunları, gerçek Injective altyapısını andıran bir sunucuya gönderdi. Çalınan veriler, normal trafiğe karışabilmesi için bir istek başlığı (request header) içinde taşındı.

Otomatik yayımlama süreci, ilk zararlı commit’ten dakikalar sonra aynı bozuk sürümü 17 ilişkili pakete daha taşıdı; böylece kiti doğrudan kurmamış ekipler bile risk altına girdi.

Commit düzeyinde yapılan analizler, ortaya koydu ki zararlı yük 8 Temmuz’da yayına girdi ve bir saatten kısa sürede geri çekildi. Kısa süre sonra temiz 1.20.23 sürümü yayımlandı.

Injective CEO’su Eric Chen, sorunun giderildiğini ve ağ üzerindeki fonların risk altında olmadığını belirtti. Buna karşın, ele geçirilmiş sürüm npm üzerinde tamamen silinmek yerine yalnızca “deprecated” ilan edildi ve teorik olarak indirilebilir durumda kaldı. Bozulmuş derleme çıktıları da ifşa anı itibarıyla GitHub üzerinde hâlâ erişilebilirdi.

Ayrıca Oku: Solana’nın ETF Anı, Yeni Bitwise Başvurusu Sonrası Göz Ardı Edilemez Hale Geliyor

Neden Hedefte Kripto Cüzdan Anahtarları Vardı?

Araştırmacılar, bu saldırıyı “Injective cüzdan iş akışlarını yöneten geliştiriciler ve uygulamalar için kritik” olarak niteledi; ancak doğrudan varlık çalındığına dair bir rakam paylaşılmadı. Ekipler, etkilenen sürümlerle herhangi bir şekilde temas eden tüm anahtar ve mnemonic’lerin ele geçirilmiş kabul edilmesi, fonların yeni cüzdanlara taşınması ve tüm sırların (API anahtarları, imzalama anahtarları, erişim belirteçleri vb.) rotasyona sokulması yönünde uyarıldı.

Bu tür tedarik zinciri saldırıları, blokzincirlerin kriptografisini doğrudan hedef almıyor. Bunun yerine, geliştiricilerin güvendiği araç zinciri zehirleniyor ve tek bir hesabın ele geçirilmesi, sessizce binlerce aşağı akım uygulamaya ulaşabilen bir dağıtım kanalına dönüşüyor.

Analistlerin raporuna göre, yalnızca ele geçirilen bu kitin kendisine doğrudan bağlı 87 npm paketi bulunuyor.

Bu vaka, açık kaynak kripto araç ekosistemi için zorlu geçen bir dönemi taçlandırıyor. Mart ayında Axios’un npm sürümlerinde benzer bir kompromi yaşanmış, mayısta ise kripto ve DeFi geliştiricilerini hedef alan TrapDoor kötü amaçlı yazılım kampanyası ortaya çıkmıştı. CertiK, yayımladığı raporda, cüzdan kompromilerini 2026’nın ilk yarısının en maliyetli saldırı vektörü olarak sıraladı; yalnızca bu dönemde 33 vakada toplam 444 milyon dolar çalındı.

Sırada Oku: Grok 4.5, Daha Ucuz Odağıyla OpenAI ve Anthropic’e Yapay Zekâ Rekabetinde Meydan Okuyor

Feragatname ve Risk Uyarısı: Bu makalede sağlanan bilgiler yalnızca eğitici ve bilgilendirici amaçlıdır ve yazarın görüşüne dayanmaktadır. Mali, yatırım, hukuki veya vergi tavsiyesi teşkil etmez. Kripto para varlıkları son derece değişkendir ve yatırımınızın tamamını veya önemli bir kısmını kaybetme riski dahil olmak üzere yüksek riske tabidir. Kripto varlık ticareti veya tutma tüm yatırımcılar için uygun olmayabilir. Bu makalede ifade edilen görüşler yalnızca yazara aittir ve Yellow, kurucuları veya yöneticilerinin resmi politikasını veya pozisyonunu temsil etmez. Her zaman kendi kapsamlı araştırmanızı yapın (D.Y.O.R.) ve herhangi bir yatırım kararı vermeden önce lisanslı bir finansal uzmanla görüşün.
Hackerlar, Injective’in 50.000 İndirmeli SDK’sını Ele Geçirip Geliştiricilerin Cüzdan Seed’lerini Çaldı | Yellow.com