发布时间:2026-07-10 已有: 位 网友关注
币界网消息,Injective SDK发生恶意更新,导致超过300次下载的开发者包泄露私钥和助记词。安全公司Socket表示,受影响的/sdk-ts npm包版本1.20.21在开发者GitHub账户被攻破后被篡改,恶意代码拦截了钱包密钥生成函数,记录私钥和助记词,并通过伪造的遥测数据发送到伪装成Injective服务器的网络地址。Socket警告称,任何通过受影响包传递的密钥或助记词都应视为已泄露。尽管受影响的开发者迅速检测到入侵并移除了恶意包版本,但Socket表示该活动尚未完全控制。Injective CEO Eric Chen表示,受影响的npm发布已被弃用,问题已修复,且Injective网络上的资金没有风险。根据Certik的数据,2026年上半年,钱包泄露是成本最高的加密攻击方式,共造成4.44亿美元的损失。