Les fonds n'ont jamais été menacés : Injective réfute la menace liée au package npm

- Des attaquants ont inséré du code de vol de clés de portefeuille dans 18 des packages développeurs npm officiels d'Injective.
- Socket indique que les clés privées et les phrases de récupération transmises par le logiciel doivent être considérées comme compromises.
- Injective et son PDG, Eric Chen, affirment que le problème a été résolu en moins d'une heure et qu'aucun fonds du réseau n'a été mis en danger.
Injective a écarté les inquiétudes concernant la compromission des fonds des utilisateurs après que des attaquants ont inséré un code de vol de clés de portefeuille dans 18 de ses packages de développement npm officiels.
Par ailleurs, des entreprises de sécurité avertissent que l'attaque a exposé les clés privées et les phrases de récupération qui ont transité par le logiciel.
Qu'est-il arrivé à Injective ?
L'attaque contre Injective a commencé lorsque deux modifications de code malveillantes ont été directement poussées vers la branche principale du code sous le nom de « thomasRalee », qui est un véritable développeur ayant déjà contribué au projet.
Il n'y a eu ni revue de code ni demande de fusion, ce qui est inhabituel, mais cette lacune a permis au code défectueux de contourner les contrôles de sécurité.
Le code malveillant, découvert par la société de sécurité Socket, était caché dans la version 1.20.21 de @injectivelabs/sdk-ts, le SDK TypeScript que les portefeuilles, les interfaces d'échange et les robots de trading utilisent pour s'appuyer sur Injective.
Les attaquants auraient ajouté un faux fichier analytique qui s'est connecté à PrivateKey.fromMnemonic() et PrivateKey.fromHex(), deux fonctions essentielles utilisées pour transformer la phrase de récupération ou la clé privée brute d'un utilisateur en une clé de signature pour les transactions.
La fonction malveillante, nommée trackKeyDerivation(), prétendait collecter des données utilisateur pour « l'optimisation du SDK », mais en réalité, elle dérobait les clés secrètes et les phrases de récupération transmises par le logiciel et les envoyait à un serveur distant. L'adresse de ce serveur était dissimulée sous l'apparence d'un domaine officiel d'Injective, ce qui rendait sa détection plus difficile.
La version compromise 1.20.21 a été intégrée à 17 autres packages officiels d'@injectivelabs, ce qui signifie que les développeurs pouvaient être exposés même s'ils n'utilisaient qu'un outil associé.
Bien que les paquets défectueux n'aient été disponibles que pendant moins d'une heure, la version corrompue a été téléchargée plus de 300 fois. Normalement, le SDK enregistre environ 50 000 téléchargements par semaine. Des versions propres, portant le numéro 1.20.23, ont été publiées pour les remplacer.
Injective Labs a abordé directement l'dent dans un message sur X jeudi, affirmant que le problème avait été identifiédentrésolu immédiatement.
« Aucun fonds n'a jamais été mis en danger ni compromis », a indiqué le compte Instagram d'Injective. Le PDG de l'entreprise, Eric Chen, a par ailleurs déclaré que les versions npm avaient été dépréciées et que le problème était résolu.
Socket a indiqué que la campagne n'était pas totalement maîtrisée au moment de la publication de son rapport, sans préciser si des biens avaient effectivement été volés.
Comment les utilisateurs peuvent-ils protéger leur portefeuille ?
Il est conseillé aux développeurs de mettre à jour immédiatement leur système vers la version 1.20.23 ou une version ultérieure afin de supprimer le code malveillant. StepSecurity recommande à toute personne dont l'application a utilisé cette version défectueuse, ou une copie mise en cache depuis, de considérer les clés de portefeuille auxquelles elle a accédé comme compromises et de les renouveler.
Il est également conseillé aux utilisateurs de vérifier les fichiers package-lock.json ou yarn.lock pour toute référence à la version 1.20.21, car d'autres paquets peuvent l'avoir récupéréematic.
CertiK a signalé que les compromissions de portefeuilles électroniques représentent 444,5 millions de dollars volés dans 33dentau cours du premier semestre 2026.
Les plus grands experts en cryptomonnaies lisent déjà notre newsletter. Envie d'en faire partie ? Rejoignez-les !
FAQ
Quels packages npm d'Injective ont été compromis ?
La version malveillante 1.20.21 était intégrée à `@injectivelabs/sdk-ts`, qui contenait la charge utile, et était épinglée à 17 autres packages dans le périmètre npm d'Injective Labs, pour un total de 18 packages.
Comment les agresseurs ont-ils volé les clés du portefeuille ?
Socket a découvert que le code était intégré aux fonctions de génération de clés du SDK et, sous une fausse fonction de télémétrie appelée `trackKeyDerivation()`, a capturé des clés privées et des phrases de départ avant de les envoyer à un serveur déguisé en adresse Injective.
Que doivent faire les développeurs qui ont utilisé la version concernée ?
Mettez à jour vers la version propre 1.20.23, considérez toute clé privée ou phrase de récupération ayant transité par le package comme compromise et remplacez-la, et vérifiez les dépendances transitives qui pourraient avoir intégré le SDK défectueux.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.

Hannah Collymore
Hannah est rédactrice et éditrice, forte d'une expérience de près de dix ans dans la rédaction de blogs et la couverture d'événements liés aux cryptomonnaies. Chez Cryptopolitan, elle contribue à la page d'actualités en rédigeant des articles et en analysant les dernières évolutions de la finance décentralisée DeFi, des comptes gérés par les utilisateurs (RWA), de la réglementation des cryptomonnaies, de l'intelligence artificielle (IA) et des technologies de pointe. Elle est diplômée en administration des affaires de l'université Arcadia.
















