黑客成功在官方 Injective (INJ) 開發套件中植入竊錢包惡意程式。該套件在 npm 上每周平均下載量約 5 萬次,而含惡意程式的版本雖然只上架不足一小時,仍被下載 310 次才被緊急清理。
重點摘要:
- 被污染的 Injective 主力 TypeScript SDK,在正常調用時會偷偷複製錢包助記詞及私鑰。
- 惡意版本擴散至 18 個相關套件,被下載 310 次,上線時間少於一小時。
- 安全研究人員指,凡是曾經經過受影響版本的任何金鑰,都應視為已經外洩。
Injective SDK 後門事件詳情
網絡安全公司 Socket 於周四 披露,npm 上的 @injectivelabs/sdk-ts 套件 1.20.21 版遭人動手腳,入侵途徑是 GitHub 上一個貢獻者帳戶被攻陷。這個 SDK 是 Injective 生態的核心組件,廣泛用於建立錢包、交易所及自動交易機械人。Injective 是專為去中心化金融而設的第一層區塊鏈。
惡意程式偽裝成「使用分析」模組,實際上則攔截所有將助記詞或原始私鑰轉換為可用簽名金鑰的功能。每當應用程式呼叫相關函數時,程式便會悄悄記錄這些機密資料,先聚合約兩秒,然後傳送至一個偽裝成 Injective 合法基建的伺服器。被竊資料藏於請求標頭之內,更易混入正常流量而不被察覺。
由於發佈流程自動化,這個被下毒的版本在首次惡意提交後數分鐘內,已同步推送到另外 17 個關聯 npm 套件,大大擴大潛在受害範圍,即使某些團隊從未直接安裝該主 SDK,亦可能間接受影響。
另一份提交層面分析 顯示,惡意載荷在 7 月 8 日上線,不足一小時便被移除,乾淨版本 1.20.23 其後迅速推出。
Injective 行政總裁 Eric Chen 傳媒引述指事件已經處理,網絡上用戶資金並無風險。不過,被攻陷的版本在 npm 上只是標註為已棄用(deprecated),而非完全下架,理論上仍可被下載。在事件披露時,相關惡意建置產物亦仍可在 GitHub 找到。
延伸閱讀: Solana 的 ETF 時刻:Bitwise 新申請後更難被忽視
為何黑客鎖定加密錢包金鑰?
研究人員形容,是次事件對「處理 Injective 錢包流程的開發者及應用程式影響重大」,但未有明言是否已有資產被盜。他們呼籲所有團隊,只要金鑰或助記詞曾經經過受影響版本,一律視為已遭洩露,應立即把資金轉移至新錢包,並全面輪換環境中的所有機密。
這類攻擊毋須破解區塊鏈本身的密碼學機制,而是透過「供應鏈投毒」入手:入侵開發者倚賴的信任工具,只要控制其中一個帳戶或發佈渠道,就可將惡意程式靜靜推送到數以千計下游應用。
安全分析指,被攻陷的主 SDK 本身就被 87 個其他 npm 套件直接依賴,潛在波及面甚廣,報告 指出,這些依賴鏈若未及時更新,風險將繼續延伸。
是次事故亦延續了今年對開源加密工具的一連串打擊。今年 3 月,Axios 的 npm 發佈曾出現類似供應鏈妥協;5 月更爆出針對加密和 DeFi 開發者的 TrapDoor 惡意軟件行動。根據 CertiK 在其 2026 年上半年 HACK3D 報告 中統計,錢包被攻陷是上半年成本最高的攻擊手法,共造成 33 宗事故、損失達 4.44 億美元。





