۱۹ تیر ۱۴۰۵ - ۱۵:۱۸
نفوذ امنیتی در اکوسیستم اینجکتیو؛ کلیدهای خصوصی کاربران لو رفت

نفوذ امنیتی در اکوسیستم اینجکتیو؛ کلیدهای خصوصی کاربران لو رفت

بر اساس گزارش شرکت امنیتی سوکت (Socket)، یک به‌روزرسانی مخرب، باعث افشای کلیدهای خصوصی و عبارات بازیابی (Seed Phrases) کاربران شده است.

به گزارش بازار، بر اساس گزارش شرکت امنیتی سوکت (Socket)، یک به‌روزرسانی مخرب در کیت توسعه نرم‌افزاری (SDK) رسمی پلتفرم اینجکتیو (Injective) باعث افشای کلیدهای خصوصی و عبارات بازیابی (Seed Phrases) کاربران شده است.

این نسخه آلوده که بر اثر نفوذ به حساب گیت‌هاب یکی از توسعه‌دهندگان منتشر شده، بیش از ۳۰۰ بار دانلود شده و حدود ۱۷ بسته دیگر در محدوده اکوسیستم اینجکتیو را نیز تحت تأثیر قرار داده است.

کد مخرب جای‌گذاری شده در نسخه ۱.۲۰.۲۱ پلتفرم، توابع مربوط به تولید کلید کیف پول را رهگیری کرده و اطلاعات حساس را به شکل کدگذاری شده به یک سرور جعلی که شباهت زیادی به آدرس‌های اینجکتیو داشت، ارسال می‌کرد. اگرچه نسخه مخرب به سرعت شناسایی و حذف شد، اما کارشناسان هشدار می‌دهند که حتی اپلیکیشن‌هایی که این پکیج را به صورت غیرمستقیم نصب کرده‌اند، ممکن است در معرض خطر باشند.

واکنش رسمی اینجکتیو و امنیت دارایی‌ها

اریک چن (Eric Chen)، مدیرعامل اینجکتیو، اعلام کرد که نسخه‌های آسیب‌دیده از مخزن پکیج‌ها (npm) حذف و مشکل برطرف شده است. او تأکید کرد که هیچ‌گونه دارایی در شبکه اصلی اینجکتیو در خطر نیست و پروتکل به فعالیت عادی خود ادامه می‌دهد. با این حال، حملات زنجیره تأمین مالی (Supply Chain Attacks) به یکی از تهدیدهای جدی برای توسعه‌دهندگان ارز دیجیتال تبدیل شده است.

افزایش حملات به زیرساخت‌های توسعه

شرکت امنیتی سوکت در بیانیه خود در وب‌سایت رسمی‌اش نوشت: هر کلید خصوصی یا عبارت بازیابی که از طریق بسته‌های آسیب‌دیده پردازش شده باشد، باید «لو رفته» در نظر گرفته شود.

این نفوذ نشان‌دهنده تغییر استراتژی مهاجمان از حمله مستقیم به قراردادهای هوشمند، به سمت هدف قرار دادن ابزارهایی است که توسعه‌دهندگان برای ساخت کیف پول‌ها و صرافی‌ها استفاده می‌کنند. طبق داده‌های سرتیک (CertiK)، سرقت کیف پول پرهزینه‌ترین روش حمله در نیمه اول سال ۲۰۲۴ بوده که منجر به از دست رفتن صدها میلیون دلار دارایی شده است.

کد خبر: ۴۱۶٬۶۳۳

اخبار مرتبط

برچسب‌ها

نظر شما

شما در حال پاسخ به نظر «» هستید.
  • نظرات حاوی توهین و هرگونه نسبت ناروا به اشخاص حقیقی و حقوقی منتشر نمی‌شود.
  • نظراتی که غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نمی‌شود.
  • captcha