Socket พบว่าการอัปเดตที่เป็นอันตรายต่อแพ็กเกจสำหรับนักพัฒนาของ Injective ได้เปิดเผยคีย์ส่วนตัวและวลีเมล็ดพันธุ์ หลังจากถูกดาวน์โหลดมากกว่า 300 ครั้ง
ตามข้อมูลจากบริษัทความปลอดภัย Socket เวอร์ชัน 1.20.21 ของแพ็กเกจ npm @injectivelabs/sdk-ts ซึ่งมีการดาวน์โหลดประมาณ 50,000 ครั้งต่อสัปดาห์ ถูกแก้ไขหลังจากบัญชี GitHub ของนักพัฒนาถูกเจาะระบบ การคอมมิตที่น่าสงสัยเริ่มขึ้นเมื่อวันที่ 8 มิถุนายน และการปล่อยเวอร์ชันที่เป็นอันตรายต่อมาถูกปักหมุดไว้ในอีก 17 แพ็กเกจภายใต้ขอบเขต npm ของ Injective Labs
บริษัทความปลอดภัยระบุว่าโค้ดดังกล่าวได้ดักจับฟังก์ชันการสร้างคีย์ของกระเป๋าเงิน บันทึกคีย์ส่วนตัวและวลีกู้คืน จากนั้นเข้ารหัสข้อมูลและส่งผ่านระบบ telemetry ปลอมไปยังที่อยู่เว็บที่เลียนแบบเซิร์ฟเวอร์ของ Injective
“คีย์หรือวลี mnemonic ใดๆ ที่ส่งผ่านแพ็กเกจที่ได้รับผลกระทบควรถือว่าถูกเจาะระบบแล้ว” Socket กล่าว พร้อมเตือนว่าแอปพลิเคชันอาจมีความเสี่ยงแม้ว่าจะไม่ได้ติดตั้ง SDK โดยตรงก็ตาม
แม้ว่านักพัฒนาที่ถูกเจาะระบบจะตรวจพบการบุกรุกได้อย่างรวดเร็วและเวอร์ชันแพ็กเกจที่เป็นอันตรายถูกลบออกไปแล้ว แต่ Socket ระบุว่าแคมเปญนี้ยังไม่ถูกควบคุมได้อย่างสมบูรณ์
Eric Chen ซีอีโอของ Injective กล่าวว่าเวอร์ชัน npm ที่ได้รับผลกระทบถูกยกเลิกการใช้งานและปัญหาได้รับการแก้ไขแล้ว Chen เพิ่มเติมว่าไม่มีเงินทุนบนเครือข่าย Injective ที่มีความเสี่ยง ในขณะที่ Socket ไม่ได้รายงานว่ามัลแวร์ส่งผลให้สินทรัพย์ถูกขโมยไปหรือไม่
แทนที่จะโจมตีระบบการเข้ารหัสหรือสัญญาอัจฉริยะของบล็อกเชน การปฏิบัติการครั้งนี้มุ่งเป้าไปที่ซอฟต์แวร์ที่นักพัฒนาใช้สร้างกระเป๋าเงิน แอปพลิเคชันแลกเปลี่ยน และแอปพลิเคชันต่างๆ Security Alliance ระบุในรายงานภัยคุกคามประจำไตรมาสที่สองว่า ผู้โจมตียังคงใช้แพลตฟอร์มอย่าง GitHub, npm และ Google เพื่อกระจายมัลแวร์เพิ่มมากขึ้น
SEAL ระบุว่าในบางเหตุการณ์ เครื่องที่ถูกเจาะระบบถูกใช้เพื่อผลักดันโค้ดที่เป็นอันตรายเข้าสู่ที่เก็บ GitHub ของบริษัทเอง ทำให้การละเมิดครั้งเดียวกลายเป็นช่องทางสำหรับการกระจายเพิ่มเติม รายงานยังอ้างถึงแพ็กเกจมัลแวร์ข้ามแพลตฟอร์มที่รวมเครื่องมือขโมยข้อมูล ม้าโทรจันเข้าถึงระยะไกล และแบ็คดอร์ รวมถึงการเพิ่มขึ้นของแคมเปญที่มุ่งเป้าไปที่ macOS
การปล่อยเวอร์ชัน npm ของ Axios ถูกโจมตีผ่านห่วงโซ่อุปทานในลักษณะเดียวกันในเดือนมีนาคม ขณะที่แคมเปญ TrapDoor ที่พบในเดือนพฤษภาคมมุ่งเป้าไปที่นักพัฒนาที่ทำงานในด้านคริปโตเคอเรนซี, DeFi, ปัญญาประดิษฐ์ และความปลอดภัย นอกจากนี้ GitHub ยังเปิดเผยถึงการเข้าถึงที่เก็บภายในโดยไม่ได้รับอนุญาตเมื่อวันที่ 20 พฤษภาคม หลังจากอุปกรณ์ของพนักงานถูกเจาะระบบ
การถูกเจาะระบบกระเป๋าเงินเป็นวิธีการโจมตีคริปโตเคอเรนซีที่สร้างความเสียหายมากที่สุดในช่วงครึ่งแรกของปี 2026 คิดเป็นมูลค่าความสูญเสีย 444 ล้านดอลลาร์จาก 33 กรณี ตามข้อมูลของ CertiK
Injective ซึ่งเป็นเลเยอร์ 1 แบบทำงานร่วมกันได้สำหรับแอปพลิเคชัน DeFi มีมูลค่ารวมที่ถูกล็อก (TVL) ลดลง 88% จากจุดสูงสุดกลางปี 2024 ที่ 71 ล้านดอลลาร์ เหลือเพียง 8.2 ล้านดอลลาร์ ตามข้อมูลจาก DefiLlama เมื่อต้นปีนี้ สมาชิกชุมชนได้อนุมัติ IIP-617 ซึ่งเร่งการลดการออกเหรียญ INJ ใหม่ในขณะที่คงการเผาเหรียญที่มีอยู่ไว้


