Проект Injective сообщил об успешном отражении атаки на программные пакеты в репозитории npm, через которые злоумышленники пытались скомпрометировать закрытые ключи и seed-фразы разработчиков. Инцидент был выявлен и блокирован до того, как вредоносный код успел нанести реальный урон, утверждают представители платформы.
По данным команды Injective, подозрительная активность зафиксирована внутренними системами мониторинга безопасности. В официальном заявлении от 10 июля 2026 года проект подчеркнул, что скомпрометированная версия пакета @injectivelabs/sdk-ts 1.20.21, а также 17 связанных с ней библиотек были удалены из реестра до того, как их скачали пользователи. «Никакие средства не находились под угрозой, и никакие средства не были скомпрометированы», — говорится в заявлении.
Однако независимые аналитические сервисы, в частности Socket и StepSecurity, приводят иные цифры: за тот неполный час, пока вредоносная версия оставалась доступной, она была загружена более 300 раз. При обычном недельном трафике SDK порядка 50 000 установок это сравнительно небольшой показатель, но специалисты предупреждают, что разработчики, чьи приложения могли получить обновление с бэкдором, должны считать все связанные с кошельками секреты скомпрометированными и немедленно их заменить.
Атака началась с двух правок кода, внесённых непосредственно в основную ветку репозитория под учётной записью «thomasRalee» — реального разработчика, ранее участвовавшего в проекте. Из-за отсутствия код-ревью и пул-реквестов вредоносные изменения остались незамеченными. В коде была спрятана функция trackKeyDerivation(), маскирующаяся под сбор телеметрии для «оптимизации SDK», но на деле перехватывавшая закрытые ключи и seed-фразы через функции PrivateKey.fromMnemonic() и PrivateKey.fromHex() и отправлявшая их на подставной сервер с адресом, похожим на официальный домен Injective.
Injective Labs дополнила, что замена пакетов на чистую версию 1.20.23 была выполнена незамедлительно, ончейн-приложения, смарт-контракты и пользовательские транзакции не пострадали. Проект также анонсировал внедрение дополнительных мер защиты для предотвращения повторения подобных атак в будущем, ссылаясь на почти пятилетнюю историю основной сети без единого успешного эксплойта на уровне блокчейна.
Эксперты по безопасности напоминают, что по данным CertiK, только в первой половине 2026 года компрометация кошельков привела к краже $444,5 млн в 33 инцидентах, и призывают разработчиков тщательно проверять зависимости в своих проектах.