2시간 전
Injective npm 패키지 백도어, 지갑 키 노려
Hackers tried to backdoor Injective npm package to steal wallet keys
Cointelegraph

핵심 포인트
보안업체 Socket은 목요일 @injectivelabs/sdk-ts npm 패키지가 지갑 개인키와 시드 문구를 탈취하도록 악의적으로 수정됐다고 발견했다. 버전 1.20.21은 침해된 개발자 GitHub 계정을 통해 수정됐으며, 의심스러운 커밋은 6월 8일부터 시작됐다. Socket은 이 버전이 다른 17개 Injective Labs npm 패키지에 고정돼 있었고 300회 넘게 다운로드됐다고 밝혔다. Injective CEO 에릭 첸은 문제가 해결됐고 영향을 받은 npm 버전들은 폐기됐다고 말했으며, Socket은 자금이 도난당했는지는 특정하지 않았다.
시장 심리
신중한 약세, 이벤트 주도.
이유: 인기 있는 Injective 개발자 패키지의 악성 수정은 보안 우려를 높이지만, 코드가 제거됐다는 보고는 즉각적인 부정적 해석을 제한한다.
유사 과거 사례
이런 유형의 소프트웨어 공급망 침해는 일반적으로 즉각적인 프로토콜 수준의 시장 스트레스보다 개발자들의 복구 대응 부담을 더 크게 만든다. 차이점은 이번 사건이 지갑 키 처리 흐름을 겨냥했다는 점이며, 핵심 네트워크 자금이 위험하다고 보고되지 않았더라도 사용자 리스크를 높일 수 있다.
파급 효과
개발팀이 고정되거나 상속된 패키지 버전에 의존할 때 개발자 도구 침해는 종속 애플리케이션으로 확산될 수 있다. 영향을 받은 팀들이 키를 교체하고 침해된 패키지 버전을 제거한다면 파급은 복구 작업에 한정될 수 있다.
기회와 리스크
기회: 사용자는 Injective Labs와 Socket이 완전한 차단을 확인하는지 모니터링할 수 있다. 명확한 차단 확인은 더 넓은 앱 수준의 차질 가능성을 낮출 것이다.
리스크: 사용자는 영향을 받은 패키지를 사용한 지갑들이 키 침해를 보고하는지 모니터링할 수 있다. 추가 지갑 침해 보고는 Injective 개발자 도구에 대한 신뢰 리스크를 높일 것이다.
This content is an AI-generated summary/analysis for informational purposes only and does not constitute investment advice.