← 返回资讯列表
CoinTelegraph Fri, 10 Jul 2026 03:07:47 中文版

Injective钱包组件遭npm后门攻击!黑客试图窃取用户私钥,Web3安全警报再升级

核心事件

近日,安全研究团队Socket披露一起针对Injective生态关键npm包的供应链攻击事件:黑客向开源依赖库注入恶意代码,意图在用户调用钱包签名流程时劫持并窃取助记词与私钥。该漏洞影响多个基于Injective链构建的DeFi前端及钱包集成应用,虽未造成大规模资金损失,但暴露了Web3基础设施中‘信任链’的脆弱性——从底层依赖包到前端交互,任一环节失守都可能引发连锁风险。

背景解读

此次攻击本质是典型的供应链投毒(Supply Chain Poisoning),不同于传统交易所黑客攻击,它绕过了中心化平台防护,直击开发者依赖管理盲区。Injective作为高性能Cosmos链生态代表,其SDK和钱包工具链被广泛集成于Gate.io交易所等主流平台的衍生服务中;而Gate平台对Injective链的支持(包括Gate合约交易、Gate现货交易)正持续深化,相关钱包兼容性与签名逻辑高度复用社区开源包。正因如此,攻击虽未直接波及Gate.io注册用户资产,却倒逼所有接入Injective链的交易平台——尤其是提供多链钱包服务的Gate交易平台——紧急审计第三方依赖、升级签名沙箱机制。

市场影响

短期看,事件加剧市场对链上钱包安全性的担忧,可能导致部分用户暂缓使用Injective生态DApp,间接影响相关代币流动性;中长期则加速行业转向‘零信任签名’架构,如硬件签名隔离、本地密钥派生(HD Wallet离线生成)等方案将成标配。对Gate数字资产用户而言,这凸显了选择具备自主风控能力平台的重要性——Gate.io交易所已支持Injective链原生资产充提,并通过自研钱包SDK强化签名验证逻辑,相较完全依赖社区包的竞品更具响应韧性。

投资建议

投资者应避免在未审核源码的第三方DApp中进行敏感操作,优先选用经平台官方认证的集成入口(如Gate平台内嵌的Injective钱包通道);同时关注Gate.io交易所后续发布的链上安全公告。警惕打着‘Injective生态空投’旗号的钓鱼链接——此类攻击常伴随社会工程学诱导,而非单纯技术漏洞。

编辑点评
我们认为此事被市场严重低估。表面是npm包投毒,实质是Web3‘信任外包’模式的系统性溃败:开发者把签名逻辑交给不可控的开源包,用户把资产安全托付给前端JS——这恰是绝大多数散户误读的方向:他们只盯着交易所是否被盗,却忽视自己每次点击‘确认交易’时,浏览器里运行的代码早已不是项目方所写。操作提示:立刻检查你常用的Injective DApp是否仍使用injective-js v1.8.0以下版本;凡涉及私钥导出或助记词输入的操作,一律切换至Ledger/Trezor等硬件钱包签名,切勿在网页端完成。Gate.io注册用户可启用平台内置的‘签名预检’功能(位于安全中心),该功能会主动拦截异常签名请求——这不是锦上添花,而是当前阶段的生存刚需。安全不是功能,是底线;当代码能被篡改,唯一可靠的防线是你指尖下的物理设备。
阅读英文原文 → 查看英文版 →

在 Gate.io 实时跟踪相关行情

Gate.io(大门交易所)成立于2013年,支持3000+种加密货币,全球交易量前三。现货手续费低至0.02%,新人注册最高可领取10000U奖励礼包。