Injective afirma que no hay fondos en riesgo después de que los paquetes npm fueran pirateados para robar las claves de la billetera

Fuente Cryptopolitan

Injective ha desestimado las preocupaciones sobre la posible vulneración de los fondos de los usuarios después de que unos atacantes insertaran código para robar claves de monedero en 18 de sus paquetes oficiales para desarrolladores de npm. 

Mientras tanto, las empresas de seguridad advierten que el ataque expuso las claves privadas y las frases semilla que se transmitieron a través del software.

¿Qué pasó con Injective? 

El ataque a Injective comenzó cuando se introdujeron dos cambios de código maliciosos directamente en la rama principal del código bajo el nombre de "thomasRalee", un desarrollador real que había contribuido previamente al proyecto. 

No hubo revisión de código ni solicitud de extracción, lo cual es inusual, pero esta laguna permitió que el código defectuoso eludiera los controles de seguridad.

El código malicioso, descubierto por la empresa de seguridad Socket, estaba oculto en la versión 1.20.21 de @injectivelabs/sdk-ts, el SDK de TypeScript que utilizan las carteras, las interfaces de intercambio y los bots de trading para desarrollarse sobre Injective. 

Según los informes, los atacantes agregaron un archivo de análisis falso que se conectaba a las funciones PrivateKey.fromMnemonic() y PrivateKey.fromHex(), ambas funciones críticas que se utilizan para convertir la frase semilla o la clave privada sin procesar de un usuario en una clave de firma para transacciones.

La función maliciosa se llamaba trackKeyDerivation() y afirmaba recopilar datos de usuario para la "optimización del SDK", pero en realidad robaba las claves secretas y las frases semilla que se transmitían a través del software y las enviaba a un servidor remoto. La dirección del servidor estaba disfrazada para que pareciera un dominio oficial de Injective, lo que dificultaba su detección.

La versión comprometida 1.20.21 estaba presente en otros 17 paquetes oficiales de @injectivelabspackages, lo que significa que los desarrolladores podrían estar expuestos incluso si solo usaban una herramienta relacionada. 

A pesar de que los paquetes defectuosos solo estuvieron disponibles durante menos de una hora, la versión contaminada se descargó más de 300 veces. Normalmente, el SDK registra alrededor de 50 000 descargas semanales. Se lanzaron versiones limpias, denominadas 1.20.23, para reemplazarlos.

Injective Labs abordó eldent directamente en una publicación en X el jueves, diciendo que el problema fuedenty resuelto de inmediato. 

«Ningún fondo estuvo en riesgo ni se vio comprometido», escribió la cuenta de Injective. El director ejecutivo de la compañía, Eric Chen, declaró por separado que las versiones de npm habían sido descontinuadas y el problema solucionado.

Socket afirmó que la campaña no había sido controlada por completo en el momento de su informe, y no especificó si se había robado algún activo.

¿Cómo pueden los usuarios proteger sus billeteras? 

Se recomienda a los desarrolladores actualizar inmediatamente a la versión limpia 1.20.23 o posterior para eliminar el código malicioso. StepSecurity aconseja a cualquier usuario cuya aplicación haya descargado la versión defectuosa, o una copia almacenada en caché posteriormente, que considere expuestas las claves de la cartera digital afectadas y que las rote. 

También se recomienda a los usuarios que revisen los archivos package-lock.json o yarn.lock para detectar cualquier referencia a la versión 1.20.21, ya que otros paquetes podrían haberla descargadomatic.

CertiK informó que las vulnerabilidades en el acceso a las billeteras digitales representan un robo de 444,5 millones de dólares en 33dentdurante la primera mitad de 2026.

Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete!

Descargo de responsabilidad: Sólo con fines informativos. Rentabilidades pasadas no son indicativas de resultados futuros.
placeholder
El WTI se consolida por debajo de los 72.00$ mientras los operadores monitorean los acontecimientos geopolíticosWest Texas Intermediate (WTI) – el precio de referencia del petróleo crudo de EE.UU. – se estabiliza durante la sesión asiática del viernes, frenando la caída del día anterior en medio de mensajes mixtos de EE.UU. e Irán.
Autor  FXStreet
21 hace una horas
West Texas Intermediate (WTI) – el precio de referencia del petróleo crudo de EE.UU. – se estabiliza durante la sesión asiática del viernes, frenando la caída del día anterior en medio de mensajes mixtos de EE.UU. e Irán.
placeholder
El oro se desploma y vuelve a mirar los 4.000 dólares: el IPC de EE. UU. será clave para el próximo reboteTradingKey - Los eventos macroeconómicos impulsan las expectativas de subida de tipos; el oro al contado vuelve a poner a prueba el nivel de los 4.000 dólares; la publicación del IPC de junio el próxi
Autor  TradingKey
El dia de ayer 02: 16
TradingKey - Los eventos macroeconómicos impulsan las expectativas de subida de tipos; el oro al contado vuelve a poner a prueba el nivel de los 4.000 dólares; la publicación del IPC de junio el próxi
placeholder
WTI se dispara tras nuevos ataques aéreos de EE.UU. contra IránEl precio del petróleo West Texas Intermediate (WTI) continúa avanzando después de registrar ganancias de casi el 5% el día anterior, cotizando alrededor de 72.20$ por barril durante las horas asiáticas del miércoles.
Autor  FXStreet
7 Mes 08 Día Mier
El precio del petróleo West Texas Intermediate (WTI) continúa avanzando después de registrar ganancias de casi el 5% el día anterior, cotizando alrededor de 72.20$ por barril durante las horas asiáticas del miércoles.
placeholder
Precio de la Plata hoy: La Plata cae, según datos de FXStreetLos precios de la Plata (XAG/USD) cayeron el martes, según datos de FXStreet. La Plata se cotiza a 60,95 $ por onza troy, una caída del 1,79% desde los 62,06 $ que costaba el lunes.
Autor  FXStreet
7 Mes 07 Día Mar
Los precios de la Plata (XAG/USD) cayeron el martes, según datos de FXStreet. La Plata se cotiza a 60,95 $ por onza troy, una caída del 1,79% desde los 62,06 $ que costaba el lunes.
placeholder
Plata Previsión del Precio: El repunte del XAG/USD se detiene, los vendedores apuntan a 60.00$El precio de la Plata retrocede más de un 1% el lunes, incluso cuando el Dólar y los rendimientos del Tesoro de EE.UU. bajan ligeramente, con el metal blanco amenazando con caer por debajo de 60$ por primera vez esta semana. Al momento de escribir, el XAG/USD cotiza en 61.80$, después de alcanzar un máximo de alrededor de 63.28$ más temprano en el día,
Autor  FXStreet
7 Mes 07 Día Mar
El precio de la Plata retrocede más de un 1% el lunes, incluso cuando el Dólar y los rendimientos del Tesoro de EE.UU. bajan ligeramente, con el metal blanco amenazando con caer por debajo de 60$ por primera vez esta semana. Al momento de escribir, el XAG/USD cotiza en 61.80$, después de alcanzar un máximo de alrededor de 63.28$ más temprano en el día,
goTop
quote