← 返回资讯列表
CoinTelegraph Fri, 10 Jul 2026 03:07:47 中文版

Injective钱包密钥遭恶意NPM包植入攻击!开发者与DeFi用户紧急响应

核心事件

近日,安全研究团队Socket披露一起针对Injective生态的供应链攻击事件:黑客试图通过篡改开源NPM包(injective-ts)植入后门代码,企图在用户调用钱包签名功能时窃取私钥。该包被广泛用于Injective链上DApp的前端集成,包括钱包连接、交易签名等核心流程。尽管攻击在上线前被及时拦截,未造成实际资金损失,但事件暴露出Web3基础设施中依赖第三方库所潜藏的系统性风险——尤其对高度依赖前端SDK的跨链协议而言,一次未审计的依赖更新即可成为单点突破口。

背景解读

此次攻击背后折射出更深层的生态治理短板。Injective作为主打高性能订单簿DEX的Cosmos生态明星项目,其前端工具链长期由社区维护,缺乏企业级CI/CD安全门禁与SBOM(软件物料清单)追踪机制。而NPM生态本身‘发布即生效’的松散审核模式,使恶意包可绕过人工审查快速传播。值得注意的是,类似手法已在2023年Polkadot生态的@polkadot-js/common漏洞中出现,说明攻击者正从单一交易所转向更底层的开发工具链。这也提醒用户:选择成熟、有完善安全审计记录的Gate平台等合规交易平台,比单纯关注链上协议更重要——因为多数普通用户实际交互入口,恰恰是Gate现货交易或Gate合约交易这类中心化接口。

市场影响

对加密市场而言,短期可能引发Injective代币INJ价格波动及生态DApp信任度下滑,但更深远的影响在于加速行业对‘零信任前端’范式的重视。中长期看,头部机构或将推动WalletConnect v3、SIWE(Sign-In with Ethereum)等标准化认证方案落地,并倒逼SDK提供商引入强制签名沙箱与运行时密钥隔离。对投资者而言,需警惕过度依赖单一链上工具链的项目,转而关注基础设施层具备多重审计背书、且与Gate.io交易所等主流平台深度集成的生态伙伴。例如,支持Gate数字资产多签托管、提供原生Gate平台API对接的项目,抗风险能力明显更强。

投资建议

散户操作层面,建议立即核查所用钱包插件及DApp前端源码是否引用了injective-ts等高危依赖;优先使用经Gate.io注册认证的官方渠道下载SDK;避免在非HTTPS环境或未经验证的测试网页面执行签名操作。安全不是功能,而是所有交互的前提。

编辑点评
我们认为此事被市场严重低估——表面是NPM包漏洞,实质是Web3信任模型从‘代码可信’向‘执行环境可信’的临界迁移。多数人误读为技术偶发事件,却忽视其标志着前端SDK已成继交易所、钱包之后第三大攻击面,且防御难度远超中心化节点。对普通散户而言:第一,立刻停用任何未通过Gate平台官方渠道分发的Injective相关插件,切勿点击社群推送的‘快速接入链接’;第二,凡涉及私钥签名的操作,务必确认当前页面URL归属Injective官网或Gate.io注册白名单域名,而非任意dapp.site。真正的安全,始于你按下‘确认签名’前的三秒凝视。
阅读英文原文 → 查看英文版 →

在 Gate.io 实时跟踪相关行情

Gate.io(大门交易所)成立于2013年,支持3000+种加密货币,全球交易量前三。现货手续费低至0.02%,新人注册最高可领取10000U奖励礼包。