开源生态的安全风险,正在成为区块链行业越来越难绕开的隐患。
据Cointelegraph报道,安全公司Socket近日发现,Injective区块链相关npm软件包@injectivelabs/sdk-ts遭到恶意修改。攻击者通过入侵开发者GitHub账户,在代码中植入窃取钱包私钥和助记词的恶意程序,并将获取的数据编码后发送至伪装成Injective官方服务器的地址。
这意味着,一些开发者在正常安装依赖包时,可能已经将风险代码带入自己的开发环境。
受影响的软件包并不是一个冷门工具。数据显示,@injectivelabs/sdk-ts每周下载量约为5万次,主要用于帮助开发者与Injective网络进行交互。对于区块链项目而言,SDK通常承担连接应用和底层网络的角色,钱包管理、交易签名、智能合约调用等功能都可能依赖这类组件。
攻击者盯上的,正是这种信任关系。
相比直接攻击用户钱包,通过污染开发工具链进行渗透,往往更加隐蔽。开发者通常会默认认为来自官方仓库的软件包可信,而攻击者只需要控制一次代码提交权限,就可能影响大量下游应用。
这类供应链攻击近年来在软件行业频繁出现。
传统互联网领域,npm、PyPI等开源包管理生态已经多次发生类似事件。一些恶意程序会伪装成热门工具,或者通过劫持开发者账号,将代码植入正常项目中。区块链行业由于涉及私钥和数字资产,攻击后果更加直接。
根据Socket披露的信息,恶意版本1.20.21从6月8日开始出现可疑提交。攻击者不仅修改了@injectivelabs/sdk-ts,还将恶意代码扩散到Injective Labs npm范围内另外17个软件包中。
这增加了事件的复杂程度。
因为风险并不只存在于直接安装该SDK的用户。如果其他开发工具或应用依赖了这些受影响的软件包,即使开发者没有主动使用@injectivelabs/sdk-ts,也可能间接受到影响。
区块链项目过去更关注智能合约漏洞、交易所安全以及链上攻击,但随着生态规模扩大,攻击目标正在向基础设施层移动。
钱包插件、开发框架、API接口、第三方依赖库,都成为新的攻击入口。
对于开发者而言,这类事件提醒了一个现实:区块链的安全边界已经不只是链本身。
一条公链即使拥有严密的共识机制,如果外围开发工具被攻破,用户资产仍然可能暴露。尤其是在Web3环境中,私钥一旦泄露,通常不存在传统金融体系中的撤销和追回机制。
Injective事件也反映出开源生态治理面临的新压力。
开源代码推动了区块链创新,大量开发者可以快速构建应用,但开放性同时意味着安全责任分散。项目方、开发者、代码托管平台以及包管理平台,都需要承担更高的审查义务。
目前,安全团队已经对相关恶意代码进行分析,并提醒开发者检查依赖版本和环境安全。对于使用Injective生态工具的项目来说,及时更新软件包、重新检查密钥管理流程,可能比单纯等待官方修复更重要。
随着区块链应用从实验阶段进入更复杂的商业环境,攻击者的目标也在变化。过去他们寻找合约漏洞,现在则可能直接攻击开发者习惯使用的工具链。
对于整个行业而言,真正的安全竞争,正在从“保护一条链”转向“保护整个生态系统”。这也是未来Web3基础设施必须补上的一课。