Hacker cài cửa hậu vào SDK 50.000 lượt tải của Injective để đánh cắp seed phrase nhà phát triển

Hacker cài cửa hậu vào SDK 50.000 lượt tải của Injective để đánh cắp seed phrase nhà phát triển

Hacker đã cài mã độc đánh cắp ví vào gói SDK chính thức của Injective (INJ) trên npm, vốn ghi nhận trung bình khoảng 50.000 lượt tải mỗi tuần. Phiên bản nhiễm độc đã bị tải 310 lần trước khi hệ thống kịp dọn dẹp.

Các điểm chính:

  • Một bản SDK TypeScript chủ lực của Injective bị cài mã độc, âm thầm sao chép seed phrase và private key trong quá trình sử dụng bình thường.
  • Bản phát hành độc hại lan sang tổng cộng 18 package, được tải 310 lần và chỉ tồn tại chưa đến một giờ.
  • Các nhà nghiên cứu khuyến cáo mọi khóa từng đi qua những bản bị ảnh hưởng đều phải coi là đã bị lộ.

Chi tiết cửa hậu trong Injective SDK

Công ty bảo mật Socket công bố hôm thứ Năm rằng phiên bản 1.20.21 của gói @injectivelabs/sdk-ts trên npm đã bị chỉnh sửa thông qua một tài khoản cộng tác viên bị chiếm quyền trên GitHub. Đây là bộ SDK lõi để xây dựng ví, sàn giao dịch và bot giao dịch trên Injective, một blockchain layer-1 phục vụ DeFi.

Đoạn mã độc giả dạng tính năng phân tích hành vi người dùng vô hại, móc vào các hàm chuyển seed phrase hoặc raw private key thành signing key sử dụng được. Mỗi lần ứng dụng gọi những hàm này, nó lặng lẽ ghi lại các “bí mật”, gom batch trong khoảng hai giây rồi gửi về một máy chủ được nguỵ trang giống hạ tầng chính thống của Injective. Dữ liệu bị đánh cắp được nhét trong phần header của request, giúp lưu lượng trông không khác gì traffic thông thường.

Quy trình publish tự động đã lan truyền cùng phiên bản nhiễm độc này sang thêm 17 package liên quan chỉ trong vài phút kể từ commit độc hại đầu tiên, làm tăng rủi ro cho những đội ngũ chưa từng cài trực tiếp gói SDK ban đầu.

Phân tích ở cấp độ commit cho thấy payload được đưa lên từ ngày 8/7 và bị gỡ trong chưa đầy một giờ, với bản sạch 1.20.23 được phát hành ngay sau đó.

CEO Injective Eric Chen được cho là đã khẳng định sự cố đã được khắc phục và không có quỹ nào trên mạng lưới bị ảnh hưởng. Tuy vậy, bản SDK nhiễm độc chỉ được đánh dấu deprecated trên npm thay vì xóa hẳn, đồng nghĩa vẫn có thể tải về. Các artifact từ bản build lỗi cũng vẫn còn trên GitHub tại thời điểm báo cáo.

Đọc thêm: Thời khắc ETF của Solana ngày càng khó bị phớt lờ sau hồ sơ mới của Bitwise

Vì sao khóa ví crypto trở thành mục tiêu

Giới nghiên cứu đánh giá đây là vụ xâm phạm “đáng kể với các nhà phát triển và ứng dụng xử lý quy trình ví Injective”, dù chưa có thông tin xác nhận tài sản đã bị rút trộm hay chưa. Các nhóm phát triển được khuyến nghị coi mọi khóa hoặc mnemonic từng đi qua những phiên bản bị ảnh hưởng là đã lộ, lập tức chuyển tiền sang ví mới và xoay vòng toàn bộ secret trong môi trường của mình.

Những đợt tấn công dạng này không nhằm vào lớp mật mã của blockchain. Thay vào đó, kẻ xâm nhập đầu độc các công cụ tin cậy mà nhà phát triển sử dụng hằng ngày, biến một tài khoản bị chiếm quyền thành kênh phân phối âm thầm vươn tới hàng nghìn ứng dụng hạ nguồn.

Chỉ riêng bộ SDK bị cài cửa hậu này đã có 87 package npm khác phụ thuộc trực tiếp, theo báo cáo của các nhà phân tích cho biết.

Sự cố đánh dấu thêm một cú đòn nữa vào hệ sinh thái công cụ mã nguồn mở cho crypto, sau vụ compromise tương tự với các bản phát hành Axios trên npm hồi tháng 3 và chiến dịch malware TrapDoor nhắm vào lập trình viên crypto và DeFi trong tháng 5. CertiK xếp hạng các vụ compromise ví là kiểu tấn công gây thiệt hại lớn nhất nửa đầu năm 2026, với 444 triệu USD bị đánh cắp qua 33 vụ.

Bài tiếp theo: Grok 4.5 thách thức OpenAI và Anthropic với mô hình AI tác vụ rẻ hơn

Tuyên bố miễn trừ trách nhiệm và cảnh báo rủi ro: Thông tin được cung cấp trong bài viết này chỉ dành cho mục đích giáo dục và thông tin, dựa trên ý kiến của tác giả. Nó không cấu thành lời khuyên tài chính, đầu tư, pháp lý hoặc thuế. Tài sản tiền mã hóa có tính biến động cao và chịu rủi ro cao, bao gồm rủi ro mất tất cả hoặc một phần lớn khoản đầu tư của bạn. Giao dịch hoặc nắm giữ tài sản crypto có thể không phù hợp với tất cả nhà đầu tư. Những quan điểm được bày tỏ trong bài viết này hoàn toàn là của (các) tác giả và không đại diện cho chính sách chính thức hoặc lập trường của Yellow, những người sáng lập hoặc giám đốc điều hành. Luôn tiến hành nghiên cứu kỹ lưỡng của riêng bạn (D.Y.O.R.) và tham khảo ý kiến chuyên gia tài chính được cấp phép trước khi đưa ra bất kỳ quyết định đầu tư nào.
Tin tức mới nhất
Xem tất cả tin tức
Tin Tức Liên Quan