
پشتپرده Injective SDK به کلیدهای خصوصی حمله کرد
نسخه v1.20.21 از @Injectivelabs/sdk-ts قبل از حذف ۳۱۰ بار دانلود شد و محققان خواستار چرخش کلید برای هر کیف پول در معرض خطر شدند.
یک حمله به زنجیره تأمین به بسته npm @injectivelabs/sdk-ts که به طور گسترده استفاده میشود، آسیب رساند و مهاجمان نسخه 1.20.21 را تغییر دادند تا کلیدهای خصوصی کیف پول و عبارات دانه را سرقت کنند. این نسخه مخرب حذف و منسوخ شده است، اما محققان هشدار دادند که هر رازی که توسط بستههای آسیبدیده مدیریت میشود باید به عنوان آسیبدیده در نظر گرفته شود.
نکات کلیدی
- یک نسخه مخرب از @injectivelabs/sdk-ts (v1.20.21) برای ضبط تغییر داده شده استکلیدهای خصوصیو یادآورها با متصل کردن توابع استخراج کلید کیف پول و ارسال دادهها از طریق "تلمتری جعلی."
- پهنه SDK بزرگ است و تقریباً 50,000 بار در هفته دانلود میشود، حتی اگر نسخه خاص آسیبدیده پس از 310 دانلود حذف شده باشد.
- ریسک قرارگیری فراتر از نصبهای مستقیم است زیرا v1.20.21 در 17 بسته دیگر در دامنه npm Injective Labs قفل شده بود.
- محققان توصیه کردند که هر کلید یاعبارات دانهکه از طریق بستههای آسیبدیده منتقل میشود باید به عنوان آسیبدیده در نظر گرفته شود، در حالی که مدیر عامل Injective، اریک چن، گفت که مشکل حل شده است و "هیچ سرمایهای در شبکه در خطر نیست" و نسخههای آسیبدیده منسوخ شدهاند.
در پشتیبانی از SDK npm Injective به کیف پولها حمله شد
یک حمله زنجیره تأمین نرمافزاری ابزارهای توسعهدهنده Injective را با پشتیبانی از بسته npm @injectivelabs/sdk-ts به خطر انداخت. محققان امنیتی در Socket فاش کردند که نسخه 1.20.21 برای دزدیدن کلیدهای خصوصی کیف پول و عبارات دانه (mnemonics) تغییر یافته است، که به طور مستقیم بر امنیت کیف پول تأثیر میگذارد و نه یک نقص در سطح پروتکل.
کد مخرب حذف شده است. مدیرعامل Injective، اریک چن، گفت: "این مشکل برطرف شده و نسخههای تحت تأثیر در npm دیگر پشتیبانی نمیشوند" و افزود: "هیچ سرمایهای در شبکه در خطر نیست"، این حادثه را به عنوان یک نقص وابستگی که میتواند بر توسعهدهندگان و کاربرانی که نسخههای تحت تأثیر را اجرا کردهاند تأثیر بگذارد، نه خود زنجیره Injective، توصیف کرد.
چگونه v1.20.21 کلیدها را از طریق "تلمتری جعلی" استخراج کرد
توصیف Socket صریح است: "انتشار مخرب توابع استخراج کلید کیف پول را به دام میاندازد، کلیدهای خصوصی و mnemonics را ثبت میکند و از طریق تلمتری جعلی آنها را استخراج میکند"، به این معنی که فرآیندهای عادی ایجاد یا استخراج کیف پول میتوانند به طور خاموشی اسرار را نشت دهند.
مسیر نفوذ مهم است. Socket این تغییر را به یک حساب کاربری توسعهدهنده در GitHub که به خطر افتاده بود مرتبط دانست، با تغییرات مشکوک که از 8 ژوئن آغاز شد. این یک پنجره خطر واضح برای هر کسی که در آن دوره وابستگی تحت تأثیر را نصب یا ساخته است، ایجاد میکند.
استخراج به گونهای طراحی شده بود که در هم ادغام شود. دادههای دزدیده شده کدگذاری شده و به یک وبآدرسارسال شد که به نظر میرسید یک سرور شبکه Injective معتبر است، که با سرقت اعتبار سازگار است و هدف آن جلوگیری از شکستن برنامهها یا ایجاد زنگهای فوری است.
محدوده انفجار: 50,000 دانلود هفتگی و 17 بسته پین شده
مقیاس بسته مشکل عملیاتی است. @injectivelabs/sdk-ts حدود 50,000 دانلود هفتگی دارد و Socket آن ردپای را "مهم برای توسعهدهندگان و برنامههایی که با گردش کار کیف پول Injective سر و کار دارند" نامید. نسخه خاص مخرب 310 بار قبل از حذف دانلود شد که نشاندهنده توزیع محدود تأیید شده v1.20.21 خود است، اما لزوماً به معنای محدودیت در معرض دید پاییندست نیست.
ریسک مرتبه دوم گسترش وابستگی است. Socket گفت v1.20.21 در 17 بسته دیگر در دامنه npm Injective Labs قفل شده بود، "که کاربران را در معرض خطر قرار میدهد که ممکن است SDK را بهطور مستقیم نصب نکرده باشند." در عمل، وابستگیهای قفل شده میتوانند نسخهای آسیبدیده را از طریق نصبهای انتقالی به ساختها بکشند و مجموعه برنامههای تحت تأثیر را فراتر از تیمهایی که بهطور آگاهانه SDK را بهروزرسانی کردهاند، گسترش دهند.
اصلاح تنها به معنای "بهروزرسانی و ادامه دادن" نیست. Socket هشدار داد: "هر کلید یا یادآوری که از طریق بستههای آسیبدیده منتقل شده باشد باید به عنوان آسیبدیده تلقی شود" و به مهاجرت کیف پول و چرخش کلید برای هر رازی که با کد آسیبدیده در ارتباط بوده، اشاره کرد.
Socket همچنین گفت توسعهدهندهای که حسابش نفوذ کرده بود، به سرعت نفوذ را تشخیص داد، اما هشدار داد "این کمپین هنوز بهطور کامل کنترل نشده است" و عدم قطعیت در مورد نسخهها یا بستههای اضافی تحت تأثیر باقی میگذارد.
چرا سرقت کیف پول زنجیره تأمین همچنان در کریپتو ظاهر میشود
این حادثه با یک الگو مطابقت دارد: حملهکنندگان به طور فزایندهای به هدف قرار دادن ریلهای توزیع مورد اعتماد مانند npm و GitHub میپردازند به جای اینکه سعی کنند رمزنگاری زنجیره را بشکنند.
اتحاد امنیتی (SEAL) هشدار داده است که "سیستمهای آسیبدیده برای فشار دادن کد مخرب بهطور مستقیم به مخازن GitHub یک شرکت استفاده میشوند و یک نفوذ واحد را به یک کانال توزیع برای نفوذ بعدی تبدیل میکنند" و اشاره کرد که بدافزار در حال گسترش است "با بارهای چندسکویی، از جمله افزایش کمپینهای خاص macOS، که ترکیبی از اطلاعاتدزدها، RATs (تروجانهای دسترسی از راه دور) و قابلیتهای درب پشتی در یک بسته واحد است."
مشوق واضح است. CertiK گزارش داد که نفوذ کیف پولها پرهزینهترین نوع حمله در نیمه اول 2026 بود، با 444 میلیون دلار دزدیده شده در 33 حادثه.
پیگیری اکنون بیشتر از افشای اولیه اهمیت دارد. معاملهگران و کاربران DeFi باید بهدنبال بهروزرسانیها باشند که آیا کمپین بهطور کامل کنترل شده است، آیا بستههای اضافی در دامنه Injective تحت تأثیر قرار گرفتهاند یا نه و آیا هرگونه وجوه دزدیده شده از کلیدهایی که از طریق ساختهای آسیبدیده منتقل شدهاند تأیید شده است.
از طرف توسعهدهندگان، سیگنال اصلاح عمومی است: وضعیت منسوخ شدن در دامنه npm Injective Labs و اینکه آیا پروژههای بزرگ تأیید میکنند که پس از احتمال نفوذ، چرخش کلید یا مهاجرت کیف پول انجام شده است.
این را به عنوان یک رویداد ریسک کیف پول در نظر بگیرید، نه یک داستان قطع زنجیره
من این را به عنوان یک تنظیم نفوذ کیف پول با ضرر نامتقارن برای هر کسی که در طول پنجره نفوذ به وابستگی دست زده است، در نظر میگیرم، نه یک بهرهبرداری پروتکلی که باید ریسک زنجیره Injective را بهطور مکانیکی دوباره قیمتگذاری کند. گفته چن "هیچ وجوهی در شبکه در معرض خطر نیست" با آن چارچوب سازگار است، اما این فوریت را برای توسعهدهندگان و کاربران قدرتمند کاهش نمیدهد زیرا هدف سرقت مواد مخفی است که کنترل کیف پولها را در دست دارد.
آستانهای که اهمیت دارد این است که آیا تخلیههای پاییندست به کلیدهایی نسبت داده میشوند که از طریق بستههای آسیبدیده استخراج یا مدیریت شدهاند. اگر آن پیوند ظاهر شود و اصلاح در سراسر dAppهای Injective نابرابر باقی بماند، این تنظیم شروع به بهنظر رسیدن ساختاری به جای داستانمحور میکند، زیرا این امر یک حادثه زنجیره تأمین را به خسارات واقعی و مکرر کیف پول تبدیل میکند.