Injective ha desestimado las preocupaciones sobre la posible vulneración de los fondos de los usuarios después de que unos atacantes insertaran código para robar claves de monedero en 18 de sus paquetes oficiales para desarrolladores de npm.
Mientras tanto, las empresas de seguridad advierten que el ataque expuso las claves privadas y las frases semilla que se transmitieron a través del software.
El ataque a Injective comenzó cuando se introdujeron dos cambios de código maliciosos directamente en la rama principal del código bajo el nombre de "thomasRalee", un desarrollador real que había contribuido previamente al proyecto.
No hubo revisión de código ni solicitud de extracción, lo cual es inusual, pero esta laguna permitió que el código defectuoso eludiera los controles de seguridad.
El código malicioso, descubierto por la empresa de seguridad Socket, estaba oculto en la versión 1.20.21 de @injectivelabs/sdk-ts, el SDK de TypeScript que utilizan las carteras, las interfaces de intercambio y los bots de trading para desarrollarse sobre Injective.
Según los informes, los atacantes agregaron un archivo de análisis falso que se conectaba a las funciones PrivateKey.fromMnemonic() y PrivateKey.fromHex(), ambas funciones críticas que se utilizan para convertir la frase semilla o la clave privada sin procesar de un usuario en una clave de firma para transacciones.
La función maliciosa se llamaba trackKeyDerivation() y afirmaba recopilar datos de usuario para la "optimización del SDK", pero en realidad robaba las claves secretas y las frases semilla que se transmitían a través del software y las enviaba a un servidor remoto. La dirección del servidor estaba disfrazada para que pareciera un dominio oficial de Injective, lo que dificultaba su detección.
La versión comprometida 1.20.21 estaba presente en otros 17 paquetes oficiales de @injectivelabspackages, lo que significa que los desarrolladores podrían estar expuestos incluso si solo usaban una herramienta relacionada.
A pesar de que los paquetes defectuosos solo estuvieron disponibles durante menos de una hora, la versión contaminada se descargó más de 300 veces. Normalmente, el SDK registra alrededor de 50 000 descargas semanales. Se lanzaron versiones limpias, denominadas 1.20.23, para reemplazarlos.
Injective Labs abordó eldent directamente en una publicación en X el jueves, diciendo que el problema fuedenty resuelto de inmediato.
«Ningún fondo estuvo en riesgo ni se vio comprometido», escribió la cuenta de Injective. El director ejecutivo de la compañía, Eric Chen, declaró por separado que las versiones de npm habían sido descontinuadas y el problema solucionado.
Socket afirmó que la campaña no había sido controlada por completo en el momento de su informe, y no especificó si se había robado algún activo.
Se recomienda a los desarrolladores actualizar inmediatamente a la versión limpia 1.20.23 o posterior para eliminar el código malicioso. StepSecurity aconseja a cualquier usuario cuya aplicación haya descargado la versión defectuosa, o una copia almacenada en caché posteriormente, que considere expuestas las claves de la cartera digital afectadas y que las rote.
También se recomienda a los usuarios que revisen los archivos package-lock.json o yarn.lock para detectar cualquier referencia a la versión 1.20.21, ya que otros paquetes podrían haberla descargadomatic.
CertiK informó que las vulnerabilidades en el acceso a las billeteras digitales representan un robo de 444,5 millones de dólares en 33dentdurante la primera mitad de 2026.
Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete!