近日,安全研究团队Socket披露一起针对Injective生态关键npm包的供应链攻击事件:黑客向开源依赖库注入恶意代码,意图在用户调用钱包签名流程时劫持并窃取助记词与私钥。该漏洞影响多个基于Injective链构建的DeFi前端及钱包集成应用,虽未造成大规模资金损失,但暴露了Web3基础设施中‘信任链’的脆弱性——从底层依赖包到前端交互,任一环节失守都可能引发连锁风险。
此次攻击本质是典型的供应链投毒(Supply Chain Poisoning),不同于传统交易所黑客攻击,它绕过了中心化平台防护,直击开发者依赖管理盲区。Injective作为高性能Cosmos链生态代表,其SDK和钱包工具链被广泛集成于Gate.io交易所等主流平台的衍生服务中;而Gate平台对Injective链的支持(包括Gate合约交易、Gate现货交易)正持续深化,相关钱包兼容性与签名逻辑高度复用社区开源包。正因如此,攻击虽未直接波及Gate.io注册用户资产,却倒逼所有接入Injective链的交易平台——尤其是提供多链钱包服务的Gate交易平台——紧急审计第三方依赖、升级签名沙箱机制。
短期看,事件加剧市场对链上钱包安全性的担忧,可能导致部分用户暂缓使用Injective生态DApp,间接影响相关代币流动性;中长期则加速行业转向‘零信任签名’架构,如硬件签名隔离、本地密钥派生(HD Wallet离线生成)等方案将成标配。对Gate数字资产用户而言,这凸显了选择具备自主风控能力平台的重要性——Gate.io交易所已支持Injective链原生资产充提,并通过自研钱包SDK强化签名验证逻辑,相较完全依赖社区包的竞品更具响应韧性。
投资者应避免在未审核源码的第三方DApp中进行敏感操作,优先选用经平台官方认证的集成入口(如Gate平台内嵌的Injective钱包通道);同时关注Gate.io交易所后续发布的链上安全公告。警惕打着‘Injective生态空投’旗号的钓鱼链接——此类攻击常伴随社会工程学诱导,而非单纯技术漏洞。