به گزارش بازار، بر اساس گزارش شرکت امنیتی سوکت (Socket)، یک بهروزرسانی مخرب در کیت توسعه نرمافزاری (SDK) رسمی پلتفرم اینجکتیو (Injective) باعث افشای کلیدهای خصوصی و عبارات بازیابی (Seed Phrases) کاربران شده است.
این نسخه آلوده که بر اثر نفوذ به حساب گیتهاب یکی از توسعهدهندگان منتشر شده، بیش از ۳۰۰ بار دانلود شده و حدود ۱۷ بسته دیگر در محدوده اکوسیستم اینجکتیو را نیز تحت تأثیر قرار داده است.
کد مخرب جایگذاری شده در نسخه ۱.۲۰.۲۱ پلتفرم، توابع مربوط به تولید کلید کیف پول را رهگیری کرده و اطلاعات حساس را به شکل کدگذاری شده به یک سرور جعلی که شباهت زیادی به آدرسهای اینجکتیو داشت، ارسال میکرد. اگرچه نسخه مخرب به سرعت شناسایی و حذف شد، اما کارشناسان هشدار میدهند که حتی اپلیکیشنهایی که این پکیج را به صورت غیرمستقیم نصب کردهاند، ممکن است در معرض خطر باشند.
واکنش رسمی اینجکتیو و امنیت داراییها
اریک چن (Eric Chen)، مدیرعامل اینجکتیو، اعلام کرد که نسخههای آسیبدیده از مخزن پکیجها (npm) حذف و مشکل برطرف شده است. او تأکید کرد که هیچگونه دارایی در شبکه اصلی اینجکتیو در خطر نیست و پروتکل به فعالیت عادی خود ادامه میدهد. با این حال، حملات زنجیره تأمین مالی (Supply Chain Attacks) به یکی از تهدیدهای جدی برای توسعهدهندگان ارز دیجیتال تبدیل شده است.
افزایش حملات به زیرساختهای توسعه
شرکت امنیتی سوکت در بیانیه خود در وبسایت رسمیاش نوشت: هر کلید خصوصی یا عبارت بازیابی که از طریق بستههای آسیبدیده پردازش شده باشد، باید «لو رفته» در نظر گرفته شود.
این نفوذ نشاندهنده تغییر استراتژی مهاجمان از حمله مستقیم به قراردادهای هوشمند، به سمت هدف قرار دادن ابزارهایی است که توسعهدهندگان برای ساخت کیف پولها و صرافیها استفاده میکنند. طبق دادههای سرتیک (CertiK)، سرقت کیف پول پرهزینهترین روش حمله در نیمه اول سال ۲۰۲۴ بوده که منجر به از دست رفتن صدها میلیون دلار دارایی شده است.





نظر شما