A tangled ball of colorful wires with a shadowy
ارز دیجیتال

پشت‌پرده Injective SDK به کلیدهای خصوصی حمله کرد

نسخه v1.20.21 از @Injectivelabs/sdk-ts قبل از حذف ۳۱۰ بار دانلود شد و محققان خواستار چرخش کلید برای هر کیف پول در معرض خطر شدند.

نوشته AI News Crypto Editorial Team5 دقیقه مطالعه

یک حمله به زنجیره تأمین به بسته npm @injectivelabs/sdk-ts که به طور گسترده استفاده می‌شود، آسیب رساند و مهاجمان نسخه 1.20.21 را تغییر دادند تا کلیدهای خصوصی کیف پول و عبارات دانه را سرقت کنند. این نسخه مخرب حذف و منسوخ شده است، اما محققان هشدار دادند که هر رازی که توسط بسته‌های آسیب‌دیده مدیریت می‌شود باید به عنوان آسیب‌دیده در نظر گرفته شود.

نکات کلیدی

  • یک نسخه مخرب از @injectivelabs/sdk-ts (v1.20.21) برای ضبط تغییر داده شده استکلیدهای خصوصیو یادآورها با متصل کردن توابع استخراج کلید کیف پول و ارسال داده‌ها از طریق "تلمتری جعلی."
  • پهنه SDK بزرگ است و تقریباً 50,000 بار در هفته دانلود می‌شود، حتی اگر نسخه خاص آسیب‌دیده پس از 310 دانلود حذف شده باشد.
  • ریسک قرارگیری فراتر از نصب‌های مستقیم است زیرا v1.20.21 در 17 بسته دیگر در دامنه npm Injective Labs قفل شده بود.
  • محققان توصیه کردند که هر کلید یاعبارات دانهکه از طریق بسته‌های آسیب‌دیده منتقل می‌شود باید به عنوان آسیب‌دیده در نظر گرفته شود، در حالی که مدیر عامل Injective، اریک چن، گفت که مشکل حل شده است و "هیچ سرمایه‌ای در شبکه در خطر نیست" و نسخه‌های آسیب‌دیده منسوخ شده‌اند.

در پشتیبانی از SDK npm Injective به کیف پول‌ها حمله شد

یک حمله زنجیره تأمین نرم‌افزاری ابزارهای توسعه‌دهنده Injective را با پشتیبانی از بسته npm @injectivelabs/sdk-ts به خطر انداخت. محققان امنیتی در Socket فاش کردند که نسخه 1.20.21 برای دزدیدن کلیدهای خصوصی کیف پول و عبارات دانه (mnemonics) تغییر یافته است، که به طور مستقیم بر امنیت کیف پول تأثیر می‌گذارد و نه یک نقص در سطح پروتکل.

کد مخرب حذف شده است. مدیرعامل Injective، اریک چن، گفت: "این مشکل برطرف شده و نسخه‌های تحت تأثیر در npm دیگر پشتیبانی نمی‌شوند" و افزود: "هیچ سرمایه‌ای در شبکه در خطر نیست"، این حادثه را به عنوان یک نقص وابستگی که می‌تواند بر توسعه‌دهندگان و کاربرانی که نسخه‌های تحت تأثیر را اجرا کرده‌اند تأثیر بگذارد، نه خود زنجیره Injective، توصیف کرد.

چگونه v1.20.21 کلیدها را از طریق "تلمتری جعلی" استخراج کرد

توصیف Socket صریح است: "انتشار مخرب توابع استخراج کلید کیف پول را به دام می‌اندازد، کلیدهای خصوصی و mnemonics را ثبت می‌کند و از طریق تلمتری جعلی آنها را استخراج می‌کند"، به این معنی که فرآیندهای عادی ایجاد یا استخراج کیف پول می‌توانند به طور خاموشی اسرار را نشت دهند.

مسیر نفوذ مهم است. Socket این تغییر را به یک حساب کاربری توسعه‌دهنده در GitHub که به خطر افتاده بود مرتبط دانست، با تغییرات مشکوک که از 8 ژوئن آغاز شد. این یک پنجره خطر واضح برای هر کسی که در آن دوره وابستگی تحت تأثیر را نصب یا ساخته است، ایجاد می‌کند.

استخراج به گونه‌ای طراحی شده بود که در هم ادغام شود. داده‌های دزدیده شده کدگذاری شده و به یک وبآدرسارسال شد که به نظر می‌رسید یک سرور شبکه Injective معتبر است، که با سرقت اعتبار سازگار است و هدف آن جلوگیری از شکستن برنامه‌ها یا ایجاد زنگ‌های فوری است.

محدوده انفجار: 50,000 دانلود هفتگی و 17 بسته پین شده

مقیاس بسته مشکل عملیاتی است. @injectivelabs/sdk-ts حدود 50,000 دانلود هفتگی دارد و Socket آن ردپای را "مهم برای توسعه‌دهندگان و برنامه‌هایی که با گردش کار کیف پول Injective سر و کار دارند" نامید. نسخه خاص مخرب 310 بار قبل از حذف دانلود شد که نشان‌دهنده توزیع محدود تأیید شده v1.20.21 خود است، اما لزوماً به معنای محدودیت در معرض دید پایین‌دست نیست.

ریسک مرتبه دوم گسترش وابستگی است. Socket گفت v1.20.21 در 17 بسته دیگر در دامنه npm Injective Labs قفل شده بود، "که کاربران را در معرض خطر قرار می‌دهد که ممکن است SDK را به‌طور مستقیم نصب نکرده باشند." در عمل، وابستگی‌های قفل شده می‌توانند نسخه‌ای آسیب‌دیده را از طریق نصب‌های انتقالی به ساخت‌ها بکشند و مجموعه برنامه‌های تحت تأثیر را فراتر از تیم‌هایی که به‌طور آگاهانه SDK را به‌روزرسانی کرده‌اند، گسترش دهند.

اصلاح تنها به معنای "به‌روزرسانی و ادامه دادن" نیست. Socket هشدار داد: "هر کلید یا یادآوری که از طریق بسته‌های آسیب‌دیده منتقل شده باشد باید به عنوان آسیب‌دیده تلقی شود" و به مهاجرت کیف پول و چرخش کلید برای هر رازی که با کد آسیب‌دیده در ارتباط بوده، اشاره کرد.

Socket همچنین گفت توسعه‌دهنده‌ای که حسابش نفوذ کرده بود، به سرعت نفوذ را تشخیص داد، اما هشدار داد "این کمپین هنوز به‌طور کامل کنترل نشده است" و عدم قطعیت در مورد نسخه‌ها یا بسته‌های اضافی تحت تأثیر باقی می‌گذارد.

چرا سرقت کیف پول زنجیره تأمین همچنان در کریپتو ظاهر می‌شود

این حادثه با یک الگو مطابقت دارد: حمله‌کنندگان به طور فزاینده‌ای به هدف قرار دادن ریل‌های توزیع مورد اعتماد مانند npm و GitHub می‌پردازند به جای اینکه سعی کنند رمزنگاری زنجیره را بشکنند.

اتحاد امنیتی (SEAL) هشدار داده است که "سیستم‌های آسیب‌دیده برای فشار دادن کد مخرب به‌طور مستقیم به مخازن GitHub یک شرکت استفاده می‌شوند و یک نفوذ واحد را به یک کانال توزیع برای نفوذ بعدی تبدیل می‌کنند" و اشاره کرد که بدافزار در حال گسترش است "با بارهای چندسکویی، از جمله افزایش کمپین‌های خاص macOS، که ترکیبی از اطلاعات‌دزدها، RATs (تروجان‌های دسترسی از راه دور) و قابلیت‌های درب پشتی در یک بسته واحد است."

مشوق واضح است. CertiK گزارش داد که نفوذ کیف پول‌ها پرهزینه‌ترین نوع حمله در نیمه اول 2026 بود، با 444 میلیون دلار دزدیده شده در 33 حادثه.

پیگیری اکنون بیشتر از افشای اولیه اهمیت دارد. معامله‌گران و کاربران DeFi باید به‌دنبال به‌روزرسانی‌ها باشند که آیا کمپین به‌طور کامل کنترل شده است، آیا بسته‌های اضافی در دامنه Injective تحت تأثیر قرار گرفته‌اند یا نه و آیا هرگونه وجوه دزدیده شده از کلیدهایی که از طریق ساخت‌های آسیب‌دیده منتقل شده‌اند تأیید شده است.

از طرف توسعه‌دهندگان، سیگنال اصلاح عمومی است: وضعیت منسوخ شدن در دامنه npm Injective Labs و اینکه آیا پروژه‌های بزرگ تأیید می‌کنند که پس از احتمال نفوذ، چرخش کلید یا مهاجرت کیف پول انجام شده است.

این را به عنوان یک رویداد ریسک کیف پول در نظر بگیرید، نه یک داستان قطع زنجیره

من این را به عنوان یک تنظیم نفوذ کیف پول با ضرر نامتقارن برای هر کسی که در طول پنجره نفوذ به وابستگی دست زده است، در نظر می‌گیرم، نه یک بهره‌برداری پروتکلی که باید ریسک زنجیره Injective را به‌طور مکانیکی دوباره قیمت‌گذاری کند. گفته چن "هیچ وجوهی در شبکه در معرض خطر نیست" با آن چارچوب سازگار است، اما این فوریت را برای توسعه‌دهندگان و کاربران قدرتمند کاهش نمی‌دهد زیرا هدف سرقت مواد مخفی است که کنترل کیف پول‌ها را در دست دارد.

آستانه‌ای که اهمیت دارد این است که آیا تخلیه‌های پایین‌دست به کلیدهایی نسبت داده می‌شوند که از طریق بسته‌های آسیب‌دیده استخراج یا مدیریت شده‌اند. اگر آن پیوند ظاهر شود و اصلاح در سراسر dAppهای Injective نابرابر باقی بماند، این تنظیم شروع به به‌نظر رسیدن ساختاری به جای داستان‌محور می‌کند، زیرا این امر یک حادثه زنجیره تأمین را به خسارات واقعی و مکرر کیف پول تبدیل می‌کند.

منابع