الأموال لم تكن في خطر قط: شركة Injective تنفي تهديد حزمة npm

- قام المهاجمون بزرع شيفرة لسرقة مفاتيح المحفظة في 18 من حزم مطوري npm الرسمية لشركة Injective.
- تقول شركة Socket إنه يجب التعامل مع المفاتيح الخاصة وعبارات الاسترداد التي يتم تمريرها عبر البرنامج على أنها مخترقة.
- يقول إريك تشين، الرئيس التنفيذي لشركة Injective، إن المشكلة تم حلها في غضون ساعة، ولم تكن أموال الشبكة معرضة للخطر.
نفت شركة Injective المخاوف بشأن تعرض أموال المستخدمين للاختراق بعد أن قام المهاجمون بزرع رمز لسرقة مفاتيح المحفظة في 18 من حزم مطوري npm الرسمية الخاصة بها.
وفي الوقت نفسه، حذرت شركات الأمن من أن الهجوم كشف عن المفاتيح الخاصة وعبارات الاسترداد التي مرت عبر البرنامج.
ماذا حدث لشركة إنجكتيف؟
بدأ الهجوم على Injective عندما تغييرين برمجيين خبيثين مباشرة إلى فرع الكود الرئيسي تحت اسم "thomasRalee" وهو مطور حقيقي ساهم سابقًا في المشروع.
لم تكن هناك مراجعة للتعليمات البرمجية أو طلب سحب، وهو أمر غير معتاد، لكن هذه الفجوة سمحت للتعليمات البرمجية السيئة بتجاوز الفحوصات الأمنية.
تم العثور على الكود الخبيث، الذي اكتشفته شركة الأمن Socket، داخل الإصدار 1.20.21 من @injectivelabs/sdk-ts، وهو TypeScript SDK الذي تستخدمه المحافظ وواجهات التداول الأمامية والروبوتات التجارية للبناء على Injective.
وبحسب ما ورد، أضاف المهاجمون ملف تحليلات مزيفًا يتصل بـ PrivateKey.fromMnemonic() و PrivateKey.fromHex()، وكلاهما وظائف مهمة تستخدم لتحويل عبارة الاسترداد الخاصة بالمستخدم أو المفتاح الخاص الخام إلى مفتاح توقيع للمعاملات.
كانت الدالة الخبيثة تُسمى trackKeyDerivation()، وادّعت أنها تجمع بيانات المستخدمين لتحسين "مجموعة تطوير البرمجيات"، لكنها في الواقع سرقت المفاتيح السرية وعبارات الاسترداد التي يتم تمريرها عبر البرنامج وأرسلتها إلى خادم بعيد. تم إخفاء عنوان الخادم ليبدو كنطاق Injective رسمي، مما صعّب اكتشافه.
تم تثبيت الإصدار المخترق 1.20.21 عبر 17 حزمة رسمية أخرى من @injectivelabspackages، مما يعني أن المطورين قد يتعرضون للخطر حتى لو استخدموا أداة ذات صلة فقط.
على الرغم من أن الحزم المعيبة لم تكن متاحة إلا لأقل من ساعة، فقد تم تحميل الإصدار الملوث أكثر من 300 مرة. في حين أن حزمة تطوير البرامج (SDK) تشهد عادةً حوالي 50,000 عملية تحميل أسبوعيًا. وقد تم إصدار نسخ نظيفة، تحمل الرقم 1.20.23، لاستبدالها.
الحادثةdent شركة Injective Labs بشكل مباشر في منشور على موقع X يوم الخميس، قائلة إنه تم تحديد المشكلةdentعلى الفور.
أكد حساب شركة Injective: "لم تكن أي أموال معرضة للخطر، ولم يتم اختراق أي منها". وصرح الرئيس التنفيذي للشركة، إريك تشين، بشكل منفصل، بأنه إصدارات npm ، وتم إصلاح المشكلة.
وقالت شركة سوكيت إن الحملة لم تكن قد تمت السيطرة عليها بالكامل وقت إعداد تقريرها، ولم تذكر ما إذا كانت أي أصول قد سُرقت بالفعل.
كيف يمكن للمستخدمين حماية محافظهم الإلكترونية؟
يُنصح المطورون بالتحديث الفوري إلى الإصدار النظيف 1.20.23 أو أحدث لإزالة الشفرة الخبيثة. نصحت شركة StepSecurity أي شخص قام تطبيقه بتثبيت الإصدار الضار، أو نسخة مخزنة منه، بالتعامل مع بيانات المحفظة التي تم الوصول إليها على أنها مكشوفة، واستبدالها بنسخة أخرى.
كما يُنصح المستخدمون بالتحقق من ملفات package-lock.json أو yarn.lock بحثًا عن أي إشارة إلى الإصدار 1.20.21، حيث قد تكون حزم أخرى قد قامت بتثبيتهmatic.
أفادت شركة CertiK أن عمليات اختراق المحافظ الإلكترونية تمثل 444.5 مليون دولار أمريكي مسروقة عبر 33dentفي النصف الأول من عام 2026.
أذكى العقول في عالم العملات الرقمية يتابعون نشرتنا الإخبارية بالفعل. هل ترغب بالانضمام إليهم؟ انضم إليهم.
الأسئلة الشائعة
ما هي حزم npm الخاصة بـ Injective التي تم اختراقها؟
تم شحن الإصدار الخبيث 1.20.21 داخل `@injectivelabs/sdk-ts`، والذي حمل الحمولة، وتم تثبيته عبر 17 حزمة أخرى في نطاق Injective Labs npm، ليصبح المجموع 18 حزمة.
كيف تمكن المهاجمون من سرقة مفاتيح المحفظة؟
وجد Socket الكود المتصل بوظائف توليد المفاتيح الخاصة بـ SDK، وتحت وظيفة قياس عن بعد مزيفة تسمى `trac()`، التقط المفاتيح الخاصة وعبارات البذور قبل إرسالها إلى خادم متنكر كعنوان حقني.
ما الذي ينبغي على المطورين الذين استخدموا الإصدار المتأثر فعله؟
قم بالتحديث إلى الإصدار النظيف، الإصدار 1.20.23، وتعامل مع أي مفتاح خاص أو عبارة أساسية مرت عبر الحزمة على أنها مخترقة وقم بتدويرها، وتحقق من التبعيات المتعدية التي ربما تكون قد جلبت SDK السيئ.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtronبإجراء بحث مستقلdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.

هانا كوليمور
هانا كاتبة ومحررة تتمتع بخبرة تقارب عشر سنوات في كتابة المدونات وتغطية الأحداث في مجال العملات الرقمية. في Cryptopolitan، تُساهم هانا في صفحة الأخبار، حيث تُغطي وتُحلل آخر التطورات في DeFi، والأصول المُدارة بالمخاطر (RWA)، وتنظيم العملات الرقمية، والذكاء الاصطناعي، وقطاعات التكنولوجيا الرائدة. تخرجت هانا من جامعة أركاديا بشهادة في إدارة الأعمال.
















