Injective предотвратила атаку на цепочку поставок npm: ущерба для средств пользователей не зафиксировано

1 час назад 2 источника neutral

Главное по теме:

  • Несмотря на быстрое устранение, 300 скачиваний вредоносного пакета могут подорвать доверие разработчиков к экосистеме Injective.
  • Инцидент сигнализирует о системных рисках в цепочках поставок DeFi, что способно повысить премию за безопасность в оценке INJ.
  • Инвесторам следует отслеживать активность dApp на Injective: отток разработчиков из-за угрозы создаст давление на курс.

Проект Injective сообщил об успешном отражении атаки на программные пакеты в репозитории npm, через которые злоумышленники пытались скомпрометировать закрытые ключи и seed-фразы разработчиков. Инцидент был выявлен и блокирован до того, как вредоносный код успел нанести реальный урон, утверждают представители платформы.

По данным команды Injective, подозрительная активность зафиксирована внутренними системами мониторинга безопасности. В официальном заявлении от 10 июля 2026 года проект подчеркнул, что скомпрометированная версия пакета @injectivelabs/sdk-ts 1.20.21, а также 17 связанных с ней библиотек были удалены из реестра до того, как их скачали пользователи. «Никакие средства не находились под угрозой, и никакие средства не были скомпрометированы», — говорится в заявлении.

Однако независимые аналитические сервисы, в частности Socket и StepSecurity, приводят иные цифры: за тот неполный час, пока вредоносная версия оставалась доступной, она была загружена более 300 раз. При обычном недельном трафике SDK порядка 50 000 установок это сравнительно небольшой показатель, но специалисты предупреждают, что разработчики, чьи приложения могли получить обновление с бэкдором, должны считать все связанные с кошельками секреты скомпрометированными и немедленно их заменить.

Атака началась с двух правок кода, внесённых непосредственно в основную ветку репозитория под учётной записью «thomasRalee» — реального разработчика, ранее участвовавшего в проекте. Из-за отсутствия код-ревью и пул-реквестов вредоносные изменения остались незамеченными. В коде была спрятана функция trackKeyDerivation(), маскирующаяся под сбор телеметрии для «оптимизации SDK», но на деле перехватывавшая закрытые ключи и seed-фразы через функции PrivateKey.fromMnemonic() и PrivateKey.fromHex() и отправлявшая их на подставной сервер с адресом, похожим на официальный домен Injective.

Injective Labs дополнила, что замена пакетов на чистую версию 1.20.23 была выполнена незамедлительно, ончейн-приложения, смарт-контракты и пользовательские транзакции не пострадали. Проект также анонсировал внедрение дополнительных мер защиты для предотвращения повторения подобных атак в будущем, ссылаясь на почти пятилетнюю историю основной сети без единого успешного эксплойта на уровне блокчейна.

Эксперты по безопасности напоминают, что по данным CertiK, только в первой половине 2026 года компрометация кошельков привела к краже $444,5 млн в 33 инцидентах, и призывают разработчиков тщательно проверять зависимости в своих проектах.

Главное сегодня
Отказ от ответственности

Данный материал носит информационный характер и не является инвестиционной рекомендацией. Криптоактивы высокорискованны и волатильны — возможна полная потеря средств. Материалы могут содержать ссылки и пересказы сторонних источников; администрация не отвечает за их содержание и точность. Coinalertnews рекомендует самостоятельно проверять информацию и консультироваться со специалистами, прежде чем принимать любые финансовые решения на основе этого контента.