Gói phần mềm Injective bị tấn công chuỗi cung ứng độc hại – Chi tiết

ambcryptoXuất bản vào 2026-07-10Cập nhật gần nhất vào 2026-07-10

Tóm tắt

Gói phần mềm Injective SDK đã trở thành mục tiêu của một cuộc tấn công chuỗi cung ứng độc hại. Kẻ tấn công đã chiếm quyền truy cập tài khoản GitHub của một cộng tác viên hợp pháp của Injective Labs, sau đó tải lên npm một phiên bản độc hại của gói TypeScript SDK, @injectivelabs/sdk-ts v1.20.21. Mã độc được ngụy trang dưới vỏ bọc tính năng đo lường, nhưng thực chất nó chỉ kích hoạt khi các nhà phát triển sử dụng các hàm tạo ví như `fromMnemonic` hoặc `fromHex` để đánh cắp khóa riêng tư và cụm từ hạt giống. Điều này cho phép kẻ tấn công tái tạo và chiếm đoạt ví tiền mã hóa của nạn nhân. Cuộc tấn công còn lan rộng thông qua các phụ thuộc chuyển tiếp trong 17 gói Injective bổ sung phụ thuộc vào SDK này, với khoảng 50.000 lượt tải xuống mỗi tuần. Mặc dù một phiên bản sạch (v1.20.23) đã được phát hành sau đó, phiên bản bị xâm phạm vẫn có sẵn trên npm dưới dạng gói không còn được khuyến nghị. Để bảo vệ bản thân, người dùng được khuyến cáo nên xoay vòng tất cả thông tin xác thực bị ảnh hưởng, tạo ví mới và chuyển tiền của họ. Sự cố này xảy ra cùng thời điểm với vụ việc BonkDAO thất thoát 20 triệu USD do một "đề xuất quản trị độc hại".

Các cuộc tấn công chuỗi cung ứng phần mềm ngày càng trở nên phổ biến, với tin tặc ngày càng nhắm mục tiêu vào các công cụ phát triển đáng tin cậy thay vì người dùng cuối.

Trong sự cố mới nhất, kẻ tấn công đã xâm phạm một gói phần mềm đáng tin cậy của Injective Labs để đánh cắp thông tin xác thực ví của các nhà phát triển.

Nguồn: Socket

Cuộc tấn công vào Injective SDK diễn ra như thế nào?

Kẻ tấn công đã tải lên npm một phiên bản độc hại của SDK TypeScript, @injectivelabs/sdk-ts v1.20.21. Gói này được thiết kế để xây dựng ứng dụng Injective, tạo ví và ký giao dịch.

Sau đó, kẻ tấn công đã giành được quyền truy cập vào tài khoản GitHub hợp pháp của một cộng tác viên tại Injective Labs và phân phối các commit độc hại. Một nhánh thử nghiệm có tên là “test-backdoor-check.”

Dưới vỏ bọc là tính năng đo lường từ xa (telemetry), kẻ tấn công đã xuất bản gói bị xâm phạm lên npm.

Thay vì thu thập dữ liệu sử dụng, phần mềm độc hại đã trích xuất khóa riêng tư và cụm từ hạt giống gợi nhớ (mnemonic seed phrases). Điều đó đã cung cấp cho kẻ tấn công mọi thứ cần thiết để tái tạo và chiếm đoạt ví tiền mã hóa của nạn nhân.

Trên hết, sự xâm phạm này còn lan rộng qua các phụ thuộc chuyển tiếp (transitive dependencies) trong 17 gói Injective bổ sung phụ thuộc vào SDK này.

Lỗ hổng dẫn đến vi phạm

Mã độc vẫn không hoạt động trong quá trình cài đặt, giúp nó tránh bị phát hiện.

Thay vào đó, nó chỉ thực thi khi các nhà phát triển sử dụng các hàm tạo ví từMnemonic hoặc fromHex.

Khoảng 50.000 lượt tải xuống gói bị xâm phạm đã xảy ra mỗi tuần. Ít nhất 87 gói khác cũng phụ thuộc trực tiếp vào nó.

Kẻ tấn công cũng đã phát hành 17 gói Injective bổ sung được ghim vào phiên bản SDK bị xâm phạm, mở rộng phạm vi tấn công.

Nguồn: Socket

Còn gì nữa?

Ngay sau đó, một phiên bản sạch, v1.20.23, đã được cung cấp. Tuy nhiên, phiên bản bị xâm phạm vẫn có sẵn trên npm dưới dạng gói không còn được khuyến nghị (deprecated package), và các bản phát hành (release artifacts) của nó vẫn có sẵn trên GitHub.

Do đó, để tránh các sự cố tương tự trong tương lai, người dùng nên xoay vòng tất cả thông tin xác thực bị ảnh hưởng, tạo ví mới và chuyển tiền của họ.

Sự việc này trùng hợp với việc BonkDAO mất 20 triệu đô la vì một “đề xuất quản trị độc hại” khiến họ trở thành nạn nhân mới nhất của một vụ hack tiền mã hóa.


Tóm tắt cuối cùng

  • Kẻ gian đã giành được quyền truy cập vào tài khoản GitHub hợp pháp của một cộng tác viên tại Injective Labs và sử dụng nó để phân phối các commit độc hại.
  • Các nhà phát triển đã bị tổn thương bởi cuộc tấn công do các phụ thuộc chuyển tiếp trong 17 gói injective bổ sung.

Câu hỏi Liên quan

QCuộc tấn công chuỗi cung ứng phần mềm vào gói phần mềm Injective Labs nhằm mục đích gì?

ACuộc tấn công nhằm mục đích đánh cắp thông tin xác thực ví của nhà phát triển, cụ thể là khóa riêng tư và cụm từ hạt giống ghi nhớ, để tái tạo và chiếm đoạt ví tiền mã hóa của nạn nhân.

QKẻ tấn công đã sử dụng phương pháp nào để phân phối phiên bản độc hại của gói @injectivelabs/sdk-ts?

AKẻ tấn công đã chiếm quyền truy cập vào tài khoản GitHub hợp pháp của một người đóng góp cho Injective Labs, sau đó sử dụng tài khoản này để phân phối các commit độc hại và xuất bản gói bị xâm phạm lên npm dưới vỏ bọc là một tính năng đo lường từ xa (telemetry).

QMã độc trong gói SDK bị xâm phạm đã hoạt động như thế nào để tránh bị phát hiện?

AMã độc không hoạt động trong quá trình cài đặt. Nó chỉ được kích hoạt và thực thi khi nhà phát triển sử dụng các hàm tạo ví cụ thể là `fromMnemonic` hoặc `fromHex`.

QPhạm vi ảnh hưởng của cuộc tấn công được mở rộng như thế nào ngoài gói SDK chính?

ACuộc tấn công lan rộng thông qua các phụ thuộc chuyển tiếp trong 17 gói Injective bổ sung phụ thuộc vào SDK này. Kẻ tấn công cũng phát hành 17 gói Injective khác được gắn với phiên bản SDK bị xâm phạm, làm tăng đáng kể phạm vi ảnh hưởng.

QBài viết đưa ra những khuyến nghị nào cho người dùng để tự bảo vệ sau sự cố này?

ABài viết khuyến nghị người dùng nên xoay vòng tất cả thông tin xác thực bị ảnh hưởng, tạo ví mới và chuyển tiền của họ sang đó để tránh tổn thất thêm.

Nội dung Liên quan

Sau khi Aave rời đi và TVL biến động mạnh, điểm neo định giá của MegaETH nằm ở đâu?

Dựa trên dữ liệu từ DefiLlama, MegaETH đã trải qua biến động mạnh về TVL toàn chuỗi từ ngày 9-10/7, giảm gần 60% trong 24 giờ và giảm khoảng 70% so với đỉnh tháng 5. Giao thức hàng đầu Aave V3 đã rút khoảng 80% thanh khoản. Giá MEGA giảm xuống khoảng $0.048, vốn hóa thị trường chỉ còn khoảng 54 triệu USD với FDV khoảng 4.8 tỷ USD. Bài viết chỉ ra rằng TVL của MegaETH phụ thuộc cao vào một giao thức duy nhất (Aave chiếm tới 90% TVL đỉnh) và các chiến lược vòng lặp ổn định币, chủ yếu dựa vào chênh lệch lợi suất. Khi lợi nhuận từ các chiến lược này biến mất, dòng tiền nhanh chóng rút đi, để lại câu hỏi về giá trị cơ bản thực sự của chuỗi. Có ba sự không phù hợp chính được nêu bật: 1. **Định giá so với mức độ sử dụng thực tế:** FDV ~4.7 tỷ USD tương phản với doanh thu giao thức thực tế hàng năm chỉ khoảng 10 triệu USD và số địa chỉ hoạt động hàng ngày thấp. 2. **Truyện thuyết token so với chất lượng hệ sinh thái:** Phần lớn doanh thu thực tế đến từ một trò chơi thẻ bài (Monster), không phải từ các giao thức DeFi như kỳ vọng. Stablecoin gốc USDm có khối lượng giao dịch thấp. 3. **Kỳ vọng ngắn hạn so với khả năng thực hiện dài hạn:** Các dự án lớn như Uniswap và Aave có TVL sụt giảm nghiêm trọng, cho thấy dòng tiền chủ yếu là đầu cơ chứ không ổn định. Tình trạng tương tự cũng được quan sát thấy ở các chuỗi công khai mới nổi khác như Monad, cho thấy thị trường đang giảm bớt sự định giá cao dựa trên TVL và truyện thuyết, thay vào đó yêu cầu các hoạt động kinh tế thực tế rõ ràng hơn. Kết luận, khi sự thịnh vượng trên sổ sách do dòng tiền khuyến khích và đầu cơ biến mất, MegaETH thiếu một điểm tựa giá trị vững chắc. Mọi sự phục hồi trong tương lai có khả năng đến từ việc sửa chữa tâm lý thị trường ngắn hạn hơn là sự cải thiện cơ bản, trừ khi đội ngũ có thể chuyển đổi thanh khoản thành việc sử dụng thực tế và xây dựng hệ sinh thái bền vững.

链捕手1 giờ trước

Sau khi Aave rời đi và TVL biến động mạnh, điểm neo định giá của MegaETH nằm ở đâu?

链捕手1 giờ trước

Báo cáo chuyên sâu của Goldman Sachs: Ai sẽ là người chiến thắng dài hạn trong ngành công nghiệp mô hình AI lớn của Trung Quốc?

Trung Quốc đang ở bước ngoặt lịch sử trong lĩnh vực mô hình AI lớn, với hiệu suất của các mô hình mã nguồn mở/mở quyền tiếp cận mô hình độc quyền hàng đầu toàn cầu. Báo cáo của Goldman Sachs nhấn mạnh sự đột phá về hiệu quả chi phí và kiến trúc, cho phép các mô hình Trung Quốc (DeepSeek, GLM5.2 của Zhipu, M3 của MiniMax) đạt hiệu năng tương đương với quy mô tham số chỉ bằng 2-10%. Thị trường đang hình thành cấu trúc hai tầng: tầng cao cấp (ví dụ: GLM5.2, Qwen3.7 Max) định giá khoảng 1 USD/triệu token, và tầng giá rẻ phục vụ doanh nghiệp vừa và nhỏ toàn cầu. Doanh thu API/dịch vụ thuê bao dự kiến tăng mạnh từ 350 tỷ NDT (2026) lên 8.790 tỷ NDT (2030). Chiến lược mã nguồn mở giúp mở rộng nhanh nhưng hạn chế khả năng hiện thực hóa doanh thu. Xu hướng có thể chuyển sang mô hình "mở quyền + giấy phép cộng đồng" với chia sẻ doanh thu. Goldman Sachs xác định các công ty có vị thế cạnh tranh mạnh nhất dựa trên khung đánh giá 3 chiều: Khả năng định giá, Lợi thế chi phí và Năng lực tài chính. - **Mô hình văn bản cơ bản:** Zhipu AI và DeepSeek có vị thế mạnh nhất. - **Đa phương thức/Tạo video:** ByteDance (Seed) dẫn đầu, tiếp theo là Kuaishou (Kling) và MiniMax (Hailuo/H3). Báo cáo duy trì xếp hạng Mua cho MiniMax và Kuaishou.

marsbit1 giờ trước

Báo cáo chuyên sâu của Goldman Sachs: Ai sẽ là người chiến thắng dài hạn trong ngành công nghiệp mô hình AI lớn của Trung Quốc?

marsbit1 giờ trước

Báo cáo chuyên sâu của Goldman Sachs: Ai sẽ trở thành người chiến thắng lâu dài trong ngành mô hình AI lớn của Trung Quốc?

Báo cáo chuyên sâu của Goldman Sachs phân tích ngành mô hình AI lớn Trung Quốc tại thời điểm chuyển đổi lịch sử, cho rằng hiệu suất của các mô hình mã nguồn mở/mở quyền Trung Quốc đang tiệm cận các mô hình độc quyền hàng đầu thế giới nhờ đột phá về kiến trúc và hiệu quả tham số, giúp đạt hiệu năng tương đương với chi phí thấp hơn đáng kể. Báo cáo nêu bật cấu trúc thị trường hai tầng: phân khúc cao cấp (GLM5.2, Qwen3.7 Max) định giá ~1 USD/triệu token và phân khúc giá rẻ (~0.06-0.2 USD/triệu token) để mở rộng toàn cầu. Chiến lược mã nguồn mở thúc đẩy việc áp dụng rộng rãi nhưng hạn chế khả năng monetize. Ngành dự kiến chuyển sang mô hình "mở quyền + giấy phép cộng đồng" để chia sẻ doanh thu. Thị trường mục tiêu chính là mở rộng quốc tế, đặc biệt bên ngoài Mỹ, nơi các mô hình Trung Quốc được kỳ vọng tăng thị phần nhờ giá cả cạnh tranh và xu hướng doanh nghiệp chuyển trọng tâm từ tối đa hóa token sang ưu tiên ROI. Sử dụng khung đánh giá dựa trên khả năng định giá, lợi thế chi phí và sức mạnh tài chính, Goldman Sachs xác định Zhipu AI và DeepSeek là những công ty có vị thế mạnh nhất trong lĩnh vực mô hình văn bản cơ bản, trong khi ByteDance (với Seed) dẫn đầu về đa phương thức/tạo video. Báo cáo duy trì xếp hạng Mua cho MiniMax và Kuaishou. Doanh thu API/dịch vụ thuê bao từ các mô hình AI Trung Quốc dự báo tăng mạnh từ ước tính 35 tỷ NDT năm 2026 lên 879 tỷ NDT vào năm 2030.

链捕手1 giờ trước

Báo cáo chuyên sâu của Goldman Sachs: Ai sẽ trở thành người chiến thắng lâu dài trong ngành mô hình AI lớn của Trung Quốc?

链捕手1 giờ trước

Circle nhận được sự chấp thuận cuối cùng của OCC cho ngân hàng ủy thác quốc gia để củng cố cơ sở hạ tầng USDC

Circle đã nhận được sự chấp thuận cuối cùng từ Văn phòng Giám sát Tiền tệ Hoa Kỳ (OCC) để thành lập một ngân hàng ủy thác quốc gia có tên là Circle National Trust. Đây là một cột mốc quan trọng, đưa một phần then chốt trong cơ sở hạ tầng của stablecoin USDC trực tiếp dưới sự giám sát của liên bang. Ngân hàng ủy thác này, ban đầu sẽ cung cấp dịch vụ lưu ký tài sản số được quản lý cho Circle và các công ty liên kết, với lộ trình mở rộng cho một số lượng hạn chế khách hàng thể chế. Giấy phép cũng được thiết kế để hỗ trợ việc quản lý Dự trữ USDC trong tương lai dưới sự giám sát của OCC, nhằm tăng cường tính minh bạch và niềm tin. Circle là một trong những công ty tiên phong trong làn sóng mới nhất của OCC về việc tích hợp các doanh nghiệp tiền mã hóa vào khuôn khổ ngân hàng hiện hành. Sự chấp thuận này phản ánh xu hướng rộng hơn khi các nhà cung cấp hạ tầng crypto tìm kiếm giấy phép ngân hàng ủy thác để mở rộng dịch vụ lưu ký có quy định và củng cố sự tham gia của các tổ chức vào tài sản số.

ambcrypto1 giờ trước

Circle nhận được sự chấp thuận cuối cùng của OCC cho ngân hàng ủy thác quốc gia để củng cố cơ sở hạ tầng USDC

ambcrypto1 giờ trước

DeXe lập mức ATH mới, hướng tới mốc 40 USD – 2 chỉ báo sau hậu thuẫn đà tăng

DeXe (DEXE) đã tiếp tục đà tăng, phòng thủ thành công mức 30 USD và thiết lập kỷ lục mới tất cả thời đại ở 35,5 USD. Tại thời điểm viết bài, DEXE giao dị quanh 34 USD, tăng 17,9% trong ngày. Khối lượng giao dịch tăng 161% lên 128 triệu USD, phản ánh sự tham gia mạnh mẽ của thị trường. Động lực cho đợt tăng giá này đến từ nhu cầu lớn đối với các dự án về quản trị phi tập trung và cơ sở hạ tầng liên kết AI. Dữ liệu từ Coinalyze cho thấy áp lực mua trên thị trường giao ngay (Spot) chiếm ưu thế trong 8 ngày liên tiếp. Song song đó, lãi mở (Open Interest) và khối lượng phái sinh (Derivatives Volume) cũng tăng mạnh, cho thấy cả nhà đầu tư giao ngay lẫn phái sinh đều ủng hộ đà tăng. Các chỉ báo kỹ thuật củng cố triển vọng tăng tiếp. Chỉ số Sức mạnh Tương đối (RSI) ở mức 76 thể hiện áp lực mua mạnh. Chỉ số Định hướng Trung bình (ADX) với +DI vượt lên trên cũng xác nhận xu hướng tăng là vững chắc. Nếu áp lực mua được duy trì, DEXE có khả năng tiếp tục hướng đến mục tiêu vượt 40 USD, với ngưỡng hỗ trợ then chốt ở 30 USD. Ngược lại, nếu không giữ được mức này, giá có thể điều chỉnh về vùng hỗ trợ tiếp theo quanh 27 USD.

ambcrypto3 giờ trước

DeXe lập mức ATH mới, hướng tới mốc 40 USD – 2 chỉ báo sau hậu thuẫn đà tăng

ambcrypto3 giờ trước

Giao dịch

Giao ngay
活动图片