A Injective negou as preocupações de que os fundos dos usuários tenham sido comprometidos após invasores terem inserido um código para roubo de chaves de carteira em 18 de seus pacotes oficiais para desenvolvedores no npm.
Entretanto, empresas de segurança alertam que o ataque expôs as chaves privadas e as frases-semente que passaram pelo software.
O ataque à Injective começou quando duas alterações maliciosas de código foram enviadas diretamente para a ramificação principal do código sob o nome "thomasRalee", que é um desenvolvedor real que já havia contribuído para o projeto.
Não houve revisão de código nem solicitação de pull request, o que é incomum, mas essa lacuna permitiu que o código defeituoso burlasse as verificações de segurança.
O código malicioso, descoberto pela empresa de segurança Socket, estava oculto na versão 1.20.21 do @injectivelabs/sdk-ts, o SDK TypeScript que carteiras, interfaces de exchanges e bots de negociação usam para funcionar na plataforma Injective.
Segundo relatos, os atacantes adicionaram um arquivo de análise falso que se conectava às funções PrivateKey.fromMnemonic() e PrivateKey.fromHex(), ambas funções críticas usadas para transformar a frase mnemônica ou a chave privada bruta de um usuário em uma chave de assinatura para transações.
A função maliciosa chamava-se trackKeyDerivation() e alegava coletar dados do usuário para "otimização do SDK", mas, na realidade, roubava as chaves secretas e frases-semente transmitidas pelo software e as enviava para um servidor remoto. O endereço do servidor estava disfarçado para se parecer com um domínio oficial da Injective, dificultando a detecção.
A versão comprometida 1.20.21 foi implantada em outros 17 pacotes oficiais da @injectivelabspackages, o que significa que os desenvolvedores poderiam ser expostos mesmo que usassem apenas uma ferramenta relacionada.
Apesar de os pacotes defeituosos terem ficado disponíveis por menos de uma hora, a versão contaminada foi baixada mais de 300 vezes. Normalmente, o SDK recebe cerca de 50.000 downloads semanais. Versões limpas, com a designação 1.20.23, foram lançadas para substituí-los.
A Injective Labs abordou odent diretamente em uma postagem no X na quinta-feira, afirmando que o problema foi identificadodentresolvido imediatamente.
“Nenhum fundo esteve em risco e nenhum fundo foi comprometido”, escreveu a conta da Injective. O CEO da empresa, Eric Chen, afirmou separadamente que as versões afetadas do npm foram descontinuadas e o problema corrigido.
A Socket afirmou que a campanha não estava totalmente controlada no momento da publicação do relatório e não informou se algum ativo foi de fato roubado.
Recomenda-se aos desenvolvedores que atualizem imediatamente para a versão limpa 1.20.23 ou posterior para remover o código malicioso. A StepSecurity alertou que qualquer pessoa cujo aplicativo tenha baixado a versão corrompida, ou uma cópia em cache posterior, deve considerar os segredos da carteira que foram acessados como expostos e rotacioná-los.
Recomenda-se também aos usuários que verifiquem os arquivos package-lock.json ou yarn.lock em busca de qualquer referência à versão 1.20.21, pois outros pacotes podem tê-la incluídomatic.
A CertiK informou que as invasões de carteiras digitais representam um prejuízo de US$ 444,5 milhões em 33 incidentesdentno primeiro semestre de 2026.
As mentes mais brilhantes do mundo das criptomoedas já leem nossa newsletter. Quer participar? Junte-se a elas.