黑客成功在官方 Injective (INJ) 開發套件中植入竊錢包惡意程式。該套件在 npm 上平均每周約有 5 萬次下載,而被污染的版本在遭到清理前,已被下載 310 次。
重點概要:
- 被動了手腳的 Injective 主要 TypeScript SDK,會在正常使用時複製錢包助記詞與私鑰。
- 惡意版本橫跨 18 個套件,在線時間不足一小時但仍被下載 310 次。
- 安全專家建議:凡經受影響版本處理過的金鑰,一律視為已外洩。
Injective SDK 被植入後門的細節
網絡安全公司 Socket 於周四披露,npm 上 @injectivelabs/sdk-ts 套件 1.20.21 版遭人篡改,肇因是一個 GitHub 貢獻者帳戶被入侵。該 SDK 是 Injective 生態的核心組件,被廣泛用於建立錢包、交易所及交易機械人;Injective 則是一條主打去中心化金融(DeFi)的 Layer 1 區塊鏈。
惡意程式偽裝成「使用分析」模組,實際上是掛鉤了將助記詞或原始私鑰轉換為簽名金鑰的關鍵函式。每當應用程式調用相關功能時,程式便會悄然記錄這些敏感資料,等待約兩秒後打包,並傳送到一部伪裝成 Injective 正式基建的伺服器。被竊取的金鑰被塞進 HTTP 請求標頭內,令可疑流量難以與正常請求區分。
由於採用自動發布流程,同一批惡意程式碼在首次惡意提交後數分鐘內,已同步推送至另外 17 個相關套件,令即使沒有直接安裝該主 SDK 的團隊,同樣可能在不知情下受到波及。
依據後續的提交層級分析,顯示這批惡意程式碼於 7 月 8 日上線,不足一小時即被撤回,其後快速推出乾淨的 1.20.23 版。
Injective 行政總裁 Eric Chen 稱相關問題已獲修復,鏈上資金並無直接風險。不過,被入侵的版本在 npm 上只是標記為「deprecated」(不建議使用),而非完全移除,理論上仍可被下載;同一批受污染構建產出的工件,在事發披露時亦仍存放於 GitHub 上。
延伸閱讀: Solana 的 ETF 時刻:Bitwise 新申請令市場更難忽視
為何黑客鎖定加密錢包金鑰
安全研究人員指出,今次事件「對處理 Injective 錢包流程的開發者及應用具相當重大影響」,但暫未具體說明是否已有資產被盜。專家呼籲,任何曾經由受影響版本處理過的私鑰或助記詞,都應被視為已經外洩;團隊應盡快將資金轉移至全新錢包,並全面更換系統內所有敏感憑證。
這類攻擊並不是直接破解區塊鏈本身的密碼學,而是針對開發者日常依賴的工具下手。黑客只要奪取其中一個受信任帳戶控制權,便可將惡意程式推送到官方管道,悄然滲透至成千上萬個下游應用。
僅就今次受入侵的 Injective SDK 而言,安全分析報告指其直接相依的 npm 套件已達 87 個,報道指潛在受影響範圍遠超最初下載惡意版本的 310 次。
是次事件亦為近月開源加密工具生態再添一擊:今年 3 月 Axios 的 npm 套件曾出現類似供應鏈攻擊;5 月則爆出專門針對加密及 DeFi 開發者的 TrapDoor 惡意軟件行動。根據 CertiK 的統計,在 2026 年上半年,各類「錢包被攻破」攻擊,是損失金額最高的攻擊手法之一,累計 33 宗事故共造成約 4.44 億美元損失。





