Los fondos nunca estuvieron en riesgo: Injective desestima la amenaza del paquete npm

- Los atacantes introdujeron código para robar claves de monederos en 18 de los paquetes oficiales para desarrolladores de Injective en npm.
- Socket afirma que las claves privadas y las frases semilla que se transmiten a través del software deben considerarse comprometidas.
- Injective y su director ejecutivo, Eric Chen, afirman que el problema se solucionó en menos de una hora y que no se puso en riesgo ningún fondo de la red.
Injective ha desestimado las preocupaciones sobre la posible vulneración de los fondos de los usuarios después de que unos atacantes insertaran código para robar claves de monedero en 18 de sus paquetes oficiales para desarrolladores de npm.
Mientras tanto, las empresas de seguridad advierten que el ataque expuso las claves privadas y las frases semilla que se transmitieron a través del software.
¿Qué pasó con Injective?
El ataque a Injective comenzó cuando se introdujeron dos cambios de código maliciosos directamente en la rama principal del código bajo el nombre de "thomasRalee", un desarrollador real que había contribuido previamente al proyecto.
No hubo revisión de código ni solicitud de extracción, lo cual es inusual, pero esta laguna permitió que el código defectuoso eludiera los controles de seguridad.
El código malicioso, descubierto por la empresa de seguridad Socket, estaba oculto en la versión 1.20.21 de @injectivelabs/sdk-ts, el SDK de TypeScript que utilizan las carteras, las interfaces de intercambio y los bots de trading para desarrollarse sobre Injective.
Según los informes, los atacantes agregaron un archivo de análisis falso que se conectaba a las funciones PrivateKey.fromMnemonic() y PrivateKey.fromHex(), ambas funciones críticas que se utilizan para convertir la frase semilla o la clave privada sin procesar de un usuario en una clave de firma para transacciones.
La función maliciosa se llamaba trackKeyDerivation() y afirmaba recopilar datos de usuario para la "optimización del SDK", pero en realidad robaba las claves secretas y las frases semilla que se transmitían a través del software y las enviaba a un servidor remoto. La dirección del servidor estaba disfrazada para que pareciera un dominio oficial de Injective, lo que dificultaba su detección.
La versión comprometida 1.20.21 estaba presente en otros 17 paquetes oficiales de @injectivelabspackages, lo que significa que los desarrolladores podrían estar expuestos incluso si solo usaban una herramienta relacionada.
A pesar de que los paquetes defectuosos solo estuvieron disponibles durante menos de una hora, la versión contaminada se descargó más de 300 veces. Normalmente, el SDK registra alrededor de 50 000 descargas semanales. Se lanzaron versiones limpias, denominadas 1.20.23, para reemplazarlos.
Injective Labs abordó eldent directamente en una publicación en X el jueves, diciendo que el problema fuedenty resuelto de inmediato.
«Ningún fondo estuvo en riesgo ni se vio comprometido», escribió la cuenta de Injective. El director ejecutivo de la compañía, Eric Chen, declaró por separado que las versiones de npm habían sido descontinuadas y el problema solucionado.
Socket afirmó que la campaña no había sido controlada por completo en el momento de su informe, y no especificó si se había robado algún activo.
¿Cómo pueden los usuarios proteger sus billeteras?
Se recomienda a los desarrolladores actualizar inmediatamente a la versión limpia 1.20.23 o posterior para eliminar el código malicioso. StepSecurity aconseja a cualquier usuario cuya aplicación haya descargado la versión defectuosa, o una copia almacenada en caché posteriormente, que considere expuestas las claves de la cartera digital afectadas y que las rote.
También se recomienda a los usuarios que revisen los archivos package-lock.json o yarn.lock para detectar cualquier referencia a la versión 1.20.21, ya que otros paquetes podrían haberla descargadomatic.
CertiK informó que las vulnerabilidades en el acceso a las billeteras digitales representan un robo de 444,5 millones de dólares en 33dentdurante la primera mitad de 2026.
Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete!
Preguntas frecuentes
¿Qué paquetes npm de Injective se vieron comprometidos?
La versión maliciosa 1.20.21 se distribuyó dentro de `@injectivelabs/sdk-ts`, que contenía la carga útil, y se aplicó a otros 17 paquetes en el ámbito de npm de Injective Labs, para un total de 18 paquetes.
¿Cómo robaron los atacantes las llaves de la cartera?
Socket descubrió que el código estaba conectado a las funciones de generación de claves del SDK y, mediante una función de telemetría falsa llamada `trackKeyDerivation()`, capturó claves privadas y frases semilla antes de enviarlas a un servidor disfrazado como una dirección de Injective.
¿Qué deben hacer los desarrolladores que utilizaron la versión afectada?
Actualizar a la versión limpia, versión 1.20.23, tratar cualquier clave privada o frase semilla que haya pasado por el paquete como comprometida y rotarla, y comprobar si existen dependencias transitivas que puedan haber incluido el SDK defectuoso.
Aviso legal. La información proporcionada no constituye asesoramiento comercial. Cryptopolitanconsultar no se responsabiliza de las inversiones realizadas con base en la información proporcionada en esta página. Recomendamostronencarecidamente realizar una investigación independientedent un profesional cualificado antes de tomar cualquier decisión de inversión.

Hannah Collymore
Hannah es escritora y editora con casi una década de experiencia en redacción de blogs y reportajes sobre eventos en el ámbito de las criptomonedas. En Cryptopolitan, colabora en la sección de noticias, informando y analizando las últimas novedades en DeFi, RWA, regulación de criptomonedas, IA y tecnologías de vanguardia. Se graduó en Administración de Empresas por la Universidad de Arcadia.
















