Набор разработчика с бэкдором для блокчейна Injective тихо похищал сид-фразы и приватные ключи кошельков до быстрого отключения.Набор разработчика с бэкдором для блокчейна Injective тихо похищал сид-фразы и приватные ключи кошельков до быстрого отключения.

Хакеры взломали SDK Injective с 50 000 загрузок, чтобы украсть мнемонические слова у разработчиков

2026/07/10 13:09
3м. чтение
Для обратной связи или замечаний по поводу данного контента, свяжитесь с нами по адресу crypto.news@mexc.com

Хакеры внедрили вредоносное ПО для кражи кошельков в официальный пакет разработчика Injective (INJ), который в среднем скачивают 50 000 раз в неделю, и зараженный релиз был загружен 310 раз до быстрой очистки.

Ключевые моменты:

Детали бэкдора в Injective SDK

Компания по кибербезопасности Socket раскрыла в четверг, что версия 1.20.21 пакета @injectivelabs/sdk-ts на npm была изменена через взломанный аккаунт участника на GitHub. Этот набор является основным строительным блоком для кошельков, бирж и торговых ботов на Injective, блокчейне первого уровня, предназначенном для децентрализованных финансов.

Вредоносный код маскировался под безобидную аналитику использования и перехватывал функции, которые преобразуют мнемоническую фразу или необработанный закрытый ключ в используемый ключ подписи. Каждый раз, когда приложение вызывало их, оно тихо записывало секреты, накапливало их в течение двух секунд и отправляло на сервер, замаскированный под легитимную инфраструктуру Injective. Украденные данные передавались внутри заголовка запроса, позволяя им сливаться с обычным трафиком.

Автоматизированная публикация распространила ту же отравленную версию на 17 связанных пакетов в течение нескольких минут после первого вредоносного коммита, расширив воздействие на команды, которые никогда не устанавливали этот набор напрямую.

Анализ на уровне коммитов показал, что полезная нагрузка стала активной 8 июля и была удалена менее чем за час, вскоре после чего последовала чистая версия 1.20.23.

Генеральный директор Injective Эрик Чен, как сообщается, заявил, что проблема уже исправлена и средства в сети не находятся под угрозой. Тем не менее, компрометированный релиз был только помечен как устаревший на npm, а не удален, оставаясь доступным для скачивания. Артефакты от зараженной сборки также оставались на GitHub на момент раскрытия информации.

Также читайте: Момент ETF для Solana становится все труднее игнорировать после новой подачи Bitwise

Почему ключи криптокошельков стали целью

Исследователи описали компрометацию как «значительную для разработчиков и приложений, обрабатывающих рабочие процессы кошельков Injective», хотя они не уточнили, были ли украдены какие-либо активы. Командам было рекомендовано считать любой ключ или мнемоническую фразу, которые контактировали с затронутыми версиями, компрометированными, перевести средства на новые кошельки и заменить все секреты в своих средах.

Атаки такого рода никогда не затрагивают криптографию блокчейна. Вместо этого злоумышленники отравляют доверенные инструменты, на которые полагаются разработчики, превращая одну взломанную учетную запись в канал распространения, который может тихо достигать тысяч downstream-приложений.

Сам по себе компрометированный набор имеет 87 других пакетов npm среди своих прямых зависимостей, сообщили аналитики.

Этот инцидент завершает тяжелый период для инструментов криптографии с открытым исходным кодом, последовавший за аналогичной компрометацией релизов Axios npm в марте и кампанией вредоносного ПО TrapDoor, которая поразила разработчиков крипто и DeFi в мае. CertiK назвал компрометацию кошельков самым дорогостоящим вектором атак первой половины 2026 года, с украденными 444 миллионами долларов в ходе 33 инцидентов.

Читать далее: Grok 4.5 бросает вызов OpenAI и Anthropic с более дешевым агентным ИИ

Комбо Кубка мира: Цель на 200x

Комбо Кубка мира: Цель на 200xКомбо Кубка мира: Цель на 200x

До 20 комбо в матчах Кубка мира за 1 ордер

Отказ от ответственности: Статьи, размещенные на этом веб-сайте, взяты из общедоступных источников и предоставляются исключительно в информационных целях. Они не обязательно отражают точку зрения MEXC. Все права принадлежат первоисточникам. Если вы считаете, что какой-либо контент нарушает права третьих лиц, пожалуйста, обратитесь по адресу crypto.news@mexc.com для его удаления. MEXC не дает никаких гарантий в отношении точности, полноты или своевременности контента и не несет ответственности за любые действия, предпринятые на основе предоставленной информации. Контент не является финансовой, юридической или иной профессиональной консультацией и не должен рассматриваться как рекомендация или одобрение со стороны MEXC.

Вам также может быть интересно

Активируйте для привилегий

Активируйте для привилегийАктивируйте для привилегий

0 комиссий, премиум-поддержка и покрытие убытков.