Специалисты по кибербезопасности из SlowMist обнаружили критическую уязвимость в экосистеме разработки Injective. Вредоносный компонент, интегрированный в SDK проекта, способен перехватывать и скрытно передавать seed-фразы пользователей, ставя под угрозу сохранность средств.
Согласно отчёту SlowMist, атака не эксплуатирует недостатки самого блокчейна, а нацелена на цепочку поставок программного обеспечения. Заражённая библиотека внедряет несанкционированные скрипты на этапе компиляции, перехватывая функции генерации кошельков. Как только разработчик собирает рабочее окружение с использованием скомпрометированного пакета, злоумышленники получают доступ к чувствительным данным, которые затем отправляются на подконтрольные серверы.
Инцидент подчёркивает растущую угрозу атак на цепочки поставок в Web3-среде. За последний год количество подобных случаев заметно увеличилось, что вынуждает команды разработчиков внедрять непрерывный аудит и криптографические подписи каждого импортируемого модуля. В SlowMist подчёркивают: безопасность на начальных этапах разработки определяет устойчивость всего протокола к фишингу и инъекциям вредоносного кода.
Последствия могут затронуть не только частных пользователей, но и институциональных участников. Платформы, которые не обновят программные окружения в ближайшее время, рискуют столкнуться с инцидентами потери средств. Эксперты рекомендуют немедленно заменить скомпрометированную библиотеку на официальные проверенные версии из основных репозиториев.
Обнаружение уязвимости совпало с периодом высокой технической активности в сети Injective. Реакция сообщества разработчиков и скорость выхода исправлений определят, удастся ли предотвратить эксплуатацию уязвимости в реальных условиях. Пока же рынок получает ещё одно напоминание о том, что инфраструктурные риски остаются одним из главных вызовов для массового внедрения децентрализованных технологий.