最新ニュース
あなたへのおすすめ

資金が危険にさらされたことは一度もない:Injective社はnpmパッケージの脅威を否定

によるハンナ・コリモアハンナ・コリモア
2分で読めます
資金が危険にさらされることは一切なかった:Injective社は、ウォレットを盗むnpmパッケージの脅威を否定
  • 攻撃者は、Injectiveの公式npm開発者パッケージ18個に、ウォレットキーを盗むコードを仕込んだ。. 
  • Socket社は、ソフトウェアを介して渡される秘密鍵とシードフレーズは、漏洩したものとして扱うべきだと述べている。. 
  • Injective社とCEOのエリック・チェン氏は、問題は1時間以内に解決され、ネットワーク資金にリスクはなかったと述べている。. 

 

Injectiveは、攻撃者が同社の公式npm開発者パッケージ18個にウォレットキー窃盗コードを仕込んだことでユーザーの資金が侵害されたという懸念を否定した。. 

一方、セキュリティ企業は、今回の攻撃により、ソフトウェアを介してやり取りされた秘密鍵とシードフレーズが漏洩したと警告している。.

Injectiveはどうなったのですか? 

Injectiveへの攻撃は、「thomasRalee」という名前で2つの 悪意のあるコード変更が メインコードブランチに直接プッシュされたことから始まった。「thomasRalee」は以前にもこのプロジェクトに貢献していた実在の開発者である。 

コードレビューもプルリクエストも行われなかったのは異例だが、この抜け穴によって悪質なコードがセキュリティチェックをすり抜けてしまった。.

セキュリティ企業Socketが発見した悪意のあるコードは、ウォレット、取引所のフロントエンド、トレーディングボットがInjective上で構築するために使用するTypeScript SDKである@injectivelabs/sdk-tsのバージョン1.20.21の中に隠されていた。. 

攻撃者は、PrivateKey.fromMnemonic()とPrivateKey.fromHex()にフックする偽の分析ファイルを追加したと報じられている。これらはどちらも、ユーザーのシードフレーズまたは生の秘密鍵をトランザクションの署名鍵に変換するために使用される重要な関数である。.

悪意のある関数は trac()という名前で、「SDK最適化」のためにユーザーデータを収集すると謳っていましたが、実際にはソフトウェアを介して渡される秘密鍵とシードフレーズを盗み出し、リモートサーバーに送信していました。サーバーのアドレスはInjectiveの公式ドメインに見せかけるように偽装されていたため、検出が困難でした。.

問題のあるバージョン1.20.21は、他の17の公式@injectivelabspackagesにも含まれていたため、開発者は関連ツールのみを使用していた場合でも、脆弱性にさらされる可能性があった。. 

問題のあるパッケージは1時間足らずしか公開されていなかったにもかかわらず、 300回以上ダウンロードされ。通常、SDKは週に約5万回ダウンロードされています。問題のあるパッケージを置き換えるため、バージョン1.20.23のクリーンバージョンがリリースされました。

Injective Labsは 木曜日にXへの投稿でdentされ、すぐに解決されたと述べた。 この件dent直接言及し、問題は

「資金が危険にさらされたことは一切なく、資金が侵害されたことも一切ありません」とInjectiveのアカウントは述べている。同社のCEOであるエリック・チェン氏は別途、影響を受けた npmリリースは 非推奨となり、問題は修正されたと述べた。

ソケット氏は、報告書作成時点ではキャンペーンは完全には収束しておらず、実際に資産が盗まれたかどうかについては言及しなかったと述べた。.

ユーザーはどのようにして自分のウォレットを保護できるのでしょうか? 

開発者は、悪意のあるコードを削除するため、直ちにクリーンなバージョン1.20.23以降にアップグレードすることが推奨されます。StepSecurity 、問題のあるリリース、またはそれ以降にキャッシュされたコピーをアプリケーションに取り込んだユーザーは、アクセスしたウォレットの秘密情報が漏洩したとみなし、ローテーションを行うべきだと助言しています。 

また、他のパッケージがmaticにバージョン1.20.21を取り込んでいる可能性があるため、ユーザーはpackage-lock.jsonまたはyarn.lockファイルでバージョン1.20.21への参照がないか確認することをお勧めします。.

CertiKの報告によると、2026年上半期に発生した33件のdent侵害事件で、4億4450万ドルが盗まれた。.

最も賢い暗号通貨マインドを持つ人々はすでに私たちのニュースレターを読んでいます。参加してみませんか?ぜひ ご参加ください

よくある質問

どのInjective npmパッケージが侵害されましたか?

悪意のあるバージョン1.20.21は、ペイロードを含む`@injectivelabs/sdk-ts`の中に同梱されており、Injective Labsのnpmスコープ内の他の17個のパッケージにも適用され、合計18個のパッケージに影響を与えた。.

攻撃者はどのようにしてウォレットの秘密鍵を盗んだのか?

Socketは、SDKの鍵生成関数にフックされたコードを発見し、`trac()`という偽のテレメトリ関数を使用して、秘密鍵とシードフレーズをキャプチャし、Injectiveアドレスを装ったサーバーに送信しました。.

影響を受けるバージョンを使用していた開発者は、どうすればよいのでしょうか?

クリーンリリース版であるバージョン1.20.23にアップデートし、パッケージを介して渡された秘密鍵またはシードフレーズはすべて侵害されたものとみなしてローテーションし、不正なSDKを取り込んだ可能性のある推移的依存関係を確認してください。.

この記事を共有する

免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を

ハンナ・コリモア

ハンナ・コリモア

ハンナは、暗号資産分野で10年近くにわたりブログ執筆やイベントレポートに携わってきたライター兼エディターです。Cryptopolitan Cryptopolitan、ニュースページに記事を寄稿し、 DeFi、RWA、暗号資産規制、AI、最先端技術産業における最新の動向をレポート・分析しています。アーカディア大学で経営学の学位を取得しています。.

もっと…ニュース