Socket нашла ворующую ключи версию SDK Injective в npm

Исследователи из компании Socket сделали тревожное открытие, связанное с пакетом Injective SDK на платформе npm. В версии 1.20.21 был обнаружен вредоносный код, который перехватывал сид-фразы и приватные ключи пользователей. Инцидент стал возможен после компрометации GitHub-аккаунта одного из разработчиков, что подтверждает наличие подозрительных коммитов, появившихся на платформе 8 июня 2026 года. Вредоносный релиз подменял ключевые функции, которые отвечали за деривацию ключей, и отправлял украденные данные на адрес, замаскированный под официальный сервер Injective.
Это событие затрагивает не только пользователей, использующих Injective SDK, но и весь рынок криптовалют в целом. В условиях постоянных атак и взломов, доверие к инструментам разработки может сильно пошатнуться. Пользователи становятся более уязвимыми, если подобные инциденты не освещаются и не решаются вовремя. Важно, чтобы разработчики и компании уделяли внимание безопасности своих продуктов, чтобы минимизировать риски для конечных пользователей.
Сейчас ключевым моментом становится реакция сообщества и разработчиков на эту ситуацию. Необходимость в проверке и аудите кода становится более актуальной, и, возможно, после этого инцидента многие компании начнут пересматривать свои подходы к безопасности. Улучшение процессов управления доступом, а также более строгие меры по проверке сторонних пакетов могут стать основными шагами для предотвращения подобных случаев в будущем.
В ближайшие недели мы можем ожидать более подробные исследования и отчеты о последствиях этой уязвимости. Также важно следить за реакцией разработчиков Injective и их планами по исправлению ситуации. Возможно, появятся обновленные версии SDK с исправлениями, которые будут направлены на восстановление доверия к инструменту. Обсуждения в сообществе также могут привести к новым рекомендациям по безопасному использованию библиотек и пакетов в разработке.
Команда CoinMagnetic
Криптоинвесторы с 2017 года. Торгуем на собственные деньги, тестируем каждую биржу лично.
Обновлено: июль 2026 г.
Читайте в нашей аналитике:
Хочешь узнавать новости первым?
Подписывайся на наш Telegram-канал – публикуем важные новости и аналитику.
Подписаться на каналПохожие новости

Команда Zcash активирует обновление Ironwood 28 июля

Убытки от криптовзломов в первом полугодии упали ниже $1 млрд

Инвестор потерял $999 999 в USDT из-за фишинга — как не повторить ошибку

Инвестор потерял 999 999 USDT после неправильной подписи транзакции

Эксперты призвали перепроверить старые смарт-контракты из-за ИИ
