A Injective afirma que nenhum fundo foi colocado em risco após pacotes npm terem sido comprometidos para roubar chaves de carteira

Fonte Cryptopolitan

A Injective negou as preocupações de que os fundos dos usuários tenham sido comprometidos após invasores terem inserido um código para roubo de chaves de carteira em 18 de seus pacotes oficiais para desenvolvedores no npm. 

Entretanto, empresas de segurança alertam que o ataque expôs as chaves privadas e as frases-semente que passaram pelo software.

O que aconteceu com a Injective? 

O ataque à Injective começou quando duas alterações maliciosas de código foram enviadas diretamente para a ramificação principal do código sob o nome "thomasRalee", que é um desenvolvedor real que já havia contribuído para o projeto. 

Não houve revisão de código nem solicitação de pull request, o que é incomum, mas essa lacuna permitiu que o código defeituoso burlasse as verificações de segurança.

O código malicioso, descoberto pela empresa de segurança Socket, estava oculto na versão 1.20.21 do @injectivelabs/sdk-ts, o SDK TypeScript que carteiras, interfaces de exchanges e bots de negociação usam para funcionar na plataforma Injective. 

Segundo relatos, os atacantes adicionaram um arquivo de análise falso que se conectava às funções PrivateKey.fromMnemonic() e PrivateKey.fromHex(), ambas funções críticas usadas para transformar a frase mnemônica ou a chave privada bruta de um usuário em uma chave de assinatura para transações.

A função maliciosa chamava-se trackKeyDerivation() e alegava coletar dados do usuário para "otimização do SDK", mas, na realidade, roubava as chaves secretas e frases-semente transmitidas pelo software e as enviava para um servidor remoto. O endereço do servidor estava disfarçado para se parecer com um domínio oficial da Injective, dificultando a detecção.

A versão comprometida 1.20.21 foi implantada em outros 17 pacotes oficiais da @injectivelabspackages, o que significa que os desenvolvedores poderiam ser expostos mesmo que usassem apenas uma ferramenta relacionada. 

Apesar de os pacotes defeituosos terem ficado disponíveis por menos de uma hora, a versão contaminada foi baixada mais de 300 vezes. Normalmente, o SDK recebe cerca de 50.000 downloads semanais. Versões limpas, com a designação 1.20.23, foram lançadas para substituí-los.

A Injective Labs abordou odent diretamente em uma postagem no X na quinta-feira, afirmando que o problema foi identificadodentresolvido imediatamente. 

“Nenhum fundo esteve em risco e nenhum fundo foi comprometido”, escreveu a conta da Injective. O CEO da empresa, Eric Chen, afirmou separadamente que as versões afetadas do npm foram descontinuadas e o problema corrigido.

A Socket afirmou que a campanha não estava totalmente controlada no momento da publicação do relatório e não informou se algum ativo foi de fato roubado.

Como os usuários podem proteger suas carteiras? 

Recomenda-se aos desenvolvedores que atualizem imediatamente para a versão limpa 1.20.23 ou posterior para remover o código malicioso. A StepSecurity alertou que qualquer pessoa cujo aplicativo tenha baixado a versão corrompida, ou uma cópia em cache posterior, deve considerar os segredos da carteira que foram acessados como expostos e rotacioná-los. 

Recomenda-se também aos usuários que verifiquem os arquivos package-lock.json ou yarn.lock em busca de qualquer referência à versão 1.20.21, pois outros pacotes podem tê-la incluídomatic.

A CertiK informou que as invasões de carteiras digitais representam um prejuízo de US$ 444,5 milhões em 33 incidentesdentno primeiro semestre de 2026.

As mentes mais brilhantes do mundo das criptomoedas já leem nossa newsletter. Quer participar? Junte-se a elas.

Isenção de responsabilidade: Apenas para fins informativos. O desempenho passado não é indicativo de resultados futuros.
placeholder
EUA e Irã continuam conversas técnicas: Bitcoin e ouro recuperam-se fortementeTradingKey - EUA e Irã continuam negociações técnicas sobre questão nuclear, impulsionando o sentimento de alta para o Bitcoin e o ouro.Em 10 de julho, a moderação local do conflito entre EUA e Irã de
Autor  TradingKey
13 horas atrás
TradingKey - EUA e Irã continuam negociações técnicas sobre questão nuclear, impulsionando o sentimento de alta para o Bitcoin e o ouro.Em 10 de julho, a moderação local do conflito entre EUA e Irã de
placeholder
Crypto Market Overview: Bitcoin recovers on easing US-Iran tensions – DeXe, Arbitrum rallyBitcoin (BTC) price rises above $63,000 at press time on Friday, extending its recovery as tensions between the US and Iran ease following missile strikes earlier this week. DeXe (DEXE) and Arbitrum (ARB) are leading gains over the last 24 hours as the broader market risk-off sentiment eases.
Autor  FXStreet
14 horas atrás
Bitcoin (BTC) price rises above $63,000 at press time on Friday, extending its recovery as tensions between the US and Iran ease following missile strikes earlier this week. DeXe (DEXE) and Arbitrum (ARB) are leading gains over the last 24 hours as the broader market risk-off sentiment eases.
placeholder
Euro remains pinned at one-year lows against the British Pound as Euro Area inflation moderatesThe Euro (EUR) remains on the defensive against the British Pound (GBP) on Friday, with the EUR/GBP pair unable to take off from one-year lows at the 0.8515 area. Data from Germany and France confirmed that inflationary pressures moderated in June, which added pressure on the common currency.
Autor  FXStreet
14 horas atrás
The Euro (EUR) remains on the defensive against the British Pound (GBP) on Friday, with the EUR/GBP pair unable to take off from one-year lows at the 0.8515 area. Data from Germany and France confirmed that inflationary pressures moderated in June, which added pressure on the common currency.
placeholder
Ouro anda de lado acima de US$ 4.100 com dólar fraco colidindo contra apostas no Fed e riscos no IrãO ouro (XAU/USD) reverteu uma modesta queda da sessão asiática em direção à região de US$ 4.109–US$ 4.108 nesta sexta-feira, embora ainda falte convicção na ponta compradora (bullish). A pressão de venda sobre o dólar americano (USD) segue firme pelo terceiro dia consecutivo, na esteira da ata menos rígida (hawkish) do FOMC divulgada na quarta-feira, o que oferece algum suporte para a commodity.
Autor  FXStreet
17 horas atrás
O ouro (XAU/USD) reverteu uma modesta queda da sessão asiática em direção à região de US$ 4.109–US$ 4.108 nesta sexta-feira, embora ainda falte convicção na ponta compradora (bullish). A pressão de venda sobre o dólar americano (USD) segue firme pelo terceiro dia consecutivo, na esteira da ata menos rígida (hawkish) do FOMC divulgada na quarta-feira, o que oferece algum suporte para a commodity.
placeholder
A chinesa ChangXin lança IPO de US$ 4,3 bilhões no setor de memória em meio a um boom de chips impulsionado por IAA ChangXin Memory Technologies (CXMT) está prestes a abrir o período de subscrição de seu IPO em Xangai, avaliado em cerca de 29,5 bilhões de yuans (aproximadamente 4,33 bilhões de dólares), no dia 16 de julho. Isso é significativo não apenas porque a CXMT é a maior produtora de DRAM da China, mas também porque os investidores podem usar esse evento para avaliar o potencial da empresa no futuro.
Autor  Cryptopolitan
21 horas atrás
A ChangXin Memory Technologies (CXMT) está prestes a abrir o período de subscrição de seu IPO em Xangai, avaliado em cerca de 29,5 bilhões de yuans (aproximadamente 4,33 bilhões de dólares), no dia 16 de julho. Isso é significativo não apenas porque a CXMT é a maior produtora de DRAM da China, mas também porque os investidores podem usar esse evento para avaliar o potencial da empresa no futuro.
goTop
quote