A tangled ball of colorful wires with a shadowy
Tiền điện tử

Lỗ hổng trong Injective SDK nhắm vào khóa riêng và cụm từ…

@Injectivelabs/sdk-ts v1.20.21 đã được tải xuống 310 lần trước khi bị gỡ bỏ, và các nhà nghiên cứu đã kêu gọi quay vòng khóa cho bất kỳ ví nào bị lộ.

Bởi AI News Crypto Editorial Team5 phút đọc

Một cuộc tấn công chuỗi cung ứng đã ảnh hưởng đến gói npm @injectivelabs/sdk-ts được sử dụng rộng rãi của Injective, với việc kẻ tấn công đã chỉnh sửa phiên bản 1.20.21 để đánh cắp khóa riêng của ví và cụm từ hạt giống. Phiên bản độc hại đã được gỡ bỏ và không còn được hỗ trợ, nhưng các nhà nghiên cứu cảnh báo rằng bất kỳ bí mật nào được xử lý bởi các gói bị ảnh hưởng nên được coi là đã bị xâm phạm.

Điểm chính

  • Một phiên bản độc hại của @injectivelabs/sdk-ts (v1.20.21) đã bị thay đổi để thu thập khóa riêng và cụm từ ghi nhớ bằng cách móc vào các chức năng phát sinh khóa ví và gửi dữ liệu ra ngoài qua “telemetry giả.”
  • Dấu chân của SDK là rất lớn với khoảng 50.000 lượt tải hàng tuần, mặc dù phiên bản bị xâm phạm cụ thể đã bị gỡ bỏ sau 310 lượt tải.
  • Rủi ro tiếp xúc mở rộng ra ngoài các cài đặt trực tiếp vì v1.20.21 đã được gán trong 17 gói khác trong phạm vi npm của Injective Labs.
  • Các nhà nghiên cứu khuyên nên coi bất kỳ khóa hoặc cụm từ hạt giống nào được truyền qua các gói bị ảnh hưởng là đã bị xâm phạm, trong khi Giám đốc điều hành của Injective, Eric Chen, cho biết vấn đề đã được khắc phục và “Không có quỹ nào trên mạng đang gặp rủi ro,” với các phiên bản bị ảnh hưởng đã không còn được hỗ trợ.

Cửa hậu trong SDK npm của Injective nhắm vào bí mật ví

Một cuộc tấn công chuỗi cung ứng phần mềm đã làm lộ công cụ phát triển của Injective bằng cách cài đặt cửa hậu vào gói npm @injectivelabs/sdk-ts. Các nhà nghiên cứu bảo mật tại Socket đã tiết lộ rằng phiên bản 1.20.21 đã bị sửa đổi để đánh cắp khóa riêng và cụm từ hạt giống (mnemonics) của ví tiền điện tử, một cú đánh trực tiếp vào bảo mật ví thay vì thất bại ở mức giao thức.

Mã độc đã được gỡ bỏ. Giám đốc điều hành của Injective, Eric Chen, cho biết: “Nó đã được sửa chữa, và các phiên bản bị ảnh hưởng trên npm đã bị ngừng sử dụng,” và bổ sung: “Không có quỹ nào trên mạng đang gặp rủi ro,” coi sự cố này như một sự xâm phạm phụ thuộc có thể ảnh hưởng đến các nhà phát triển và người dùng đã chạy các bản xây dựng bị ảnh hưởng, chứ không phải chuỗi Injective.

Cách v1.20.21 đánh cắp khóa qua “Telemetry giả”

Mô tả của Socket rất thẳng thắn: “Phiên bản độc hại đã móc nối các chức năng tạo khóa ví, ghi lại khóa riêng và mnemonics, và đánh cắp chúng thông qua telemetry giả,” nghĩa là quy trình tạo hoặc phát sinh ví bình thường có thể lén lút rò rỉ bí mật.

Đường xâm nhập là điều quan trọng. Socket đã liên kết sự sửa đổi với một tài khoản GitHub của nhà phát triển bị xâm phạm, với các cam kết đáng ngờ bắt đầu từ ngày 8 tháng 6. Điều này tạo ra một khoảng thời gian rủi ro rõ ràng cho bất kỳ ai đã cài đặt hoặc xây dựng dựa trên phụ thuộc bị ảnh hưởng trong khoảng thời gian đó.

Việc đánh cắp dữ liệu được thiết kế để hòa lẫn. Dữ liệu bị đánh cắp đã được mã hóa và gửi đến một địa chỉ webđịa chỉđược làm giống như một máy chủ mạng Injective hợp pháp, nhất quán với việc đánh cắp thông tin xác thực nhằm tránh làm hỏng ứng dụng hoặc kích hoạt báo động ngay lập tức.

Phạm vi ảnh hưởng: 50.000 lượt tải xuống hàng tuần và 17 gói đã được ghim

Quy mô của gói là vấn đề vận hành. @injectivelabs/sdk-ts có khoảng 50.000 lượt tải hàng tuần, và Socket gọi dấu chân đó là "đáng kể đối với các nhà phát triển và ứng dụng xử lý quy trình ví Injective." Phiên bản độc hại cụ thể đã được tải xuống 310 lần trước khi bị gỡ bỏ, điều này cho thấy sự phân phối xác nhận hạn chế của v1.20.21, nhưng không nhất thiết là hạn chế sự tiếp xúc hạ nguồn.

Rủi ro bậc hai là sự lan truyền phụ thuộc. Socket cho biết v1.20.21 đã được ghim trên 17 gói khác trong phạm vi npm của Injective Labs, "phơi bày người dùng có thể chưa cài đặt SDK trực tiếp." Trong thực tế, các phụ thuộc đã được ghim có thể kéo một phiên bản bị xâm phạm vào các bản dựng thông qua các cài đặt trung gian, mở rộng tập hợp các ứng dụng bị ảnh hưởng vượt ra ngoài các nhóm đã biết đến việc nâng cấp SDK.

Khắc phục không chỉ đơn giản là "cập nhật và tiếp tục." Socket đã cảnh báo: "Bất kỳ khóa hoặc cụm từ ghi nhớ nào được truyền qua các gói bị ảnh hưởng nên được coi là đã bị xâm phạm," ngụ ý rằng cần phải di chuyển ví và xoay vòng khóa cho bất kỳ bí mật nào đã chạm vào mã bị xâm phạm.

Socket cũng cho biết nhà phát triển có tài khoản bị xâm nhập đã phát hiện ra sự xâm phạm nhanh chóng, nhưng cảnh báo "chiến dịch này vẫn chưa được kiểm soát hoàn toàn," để lại sự không chắc chắn xung quanh các phiên bản hoặc gói bị ảnh hưởng bổ sung.

Tại sao vụ trộm ví chuỗi cung ứng lại tiếp tục xuất hiện trong Crypto

Sự cố này phù hợp với một mô hình: những kẻ tấn công ngày càng nhắm mục tiêu vào các đường phân phối đáng tin cậy như npm và GitHub thay vì cố gắng phá vỡ mã hóa chuỗi.

Liên minh An ninh (SEAL) đã cảnh báo rằng "các hệ thống bị xâm phạm đang được sử dụng để đẩy mã độc trực tiếp vào các kho GitHub của công ty, biến một sự xâm phạm đơn lẻ thành một kênh phân phối cho sự xâm phạm tiếp theo," và lưu ý rằng phần mềm độc hại đang trở nên rộng hơn "với các tải trọng đa nền tảng, bao gồm sự gia tăng các chiến dịch cụ thể cho macOS, kết hợp các công cụ đánh cắp thông tin, RATs (trojan truy cập từ xa) và khả năng cửa sau trong một gói duy nhất."

Động lực là rõ ràng. CertiK báo cáo rằng các vụ xâm phạm ví là vector tấn công tốn kém nhất trong nửa đầu năm 2026, với 444 triệu đô la bị đánh cắp qua 33 sự cố.

Việc theo dõi bây giờ quan trọng hơn thông báo ban đầu. Các nhà giao dịch và người dùng DeFi nên tìm kiếm các cập nhật về việc liệu chiến dịch có được kiểm soát hoàn toàn hay không, liệu có bất kỳ gói nào trong phạm vi Injective bị ảnh hưởng ngoài @injectivelabs/sdk-ts v1.20.21 hay không, và liệu có bất kỳ quỹ nào bị đánh cắp được xác nhận từ các khóa đã đi qua các bản dựng bị ảnh hưởng hay không.

Về phía nhà phát triển, tín hiệu là khắc phục công khai: trạng thái ngừng sử dụng trong phạm vi npm của Injective Labs và liệu các dự án lớn có xác nhận việc xoay vòng khóa hoặc di chuyển ví sau khi có khả năng tiếp xúc hay không.

Xem đây như một sự kiện rủi ro ví, không phải là một câu chuyện gián đoạn chuỗi

Tôi coi đây là một thiết lập xâm phạm ví với rủi ro không đối xứng cho bất kỳ ai đã chạm vào phụ thuộc trong khoảng thời gian xâm nhập, không phải là một lỗ hổng giao thức nên tự động định giá lại rủi ro chuỗi của Injective. Câu nói của Chen "Không có quỹ nào trên mạng đang gặp rủi ro" phù hợp với cách nhìn đó, nhưng không giảm bớt sự cấp bách cho các nhà phát triển và người dùng mạnh, vì mục tiêu đánh cắp là tài liệu bí mật kiểm soát các ví.

Ngưỡng quan trọng là liệu các khoản rút hạ nguồn có được quy cho các khóa được lấy hoặc xử lý thông qua các gói bị ảnh hưởng hay không. Nếu sự liên kết đó xuất hiện và việc khắc phục vẫn không đồng đều trên các dApp của Injective, thiết lập bắt đầu trông có vẻ cấu trúc hơn là do câu chuyện dẫn dắt, vì nó sẽ chuyển đổi một sự cố chuỗi cung ứng thành những tổn thất ví thực tế, lặp đi lặp lại.

Nguồn