해커, Injective npm 패키지에 백도어 심어 지갑 키 탈취 시도
COINTELEGRAPH ·
보안업체 Socket은 Injective 블록체인 개발에 사용되는 npm 패키지(@injectivelabs/sdk-ts v1.20.21)가 악성 코드로 변조돼 지갑 개인키와 니모닉을 훔치도록 설계됐다고 발견했다. 해당 패키지는 주당 약 50,000회 다운로드되며, 악성 커밋은 6월 8일경부터 의심스러운 활동을 보였고 동일 스코프의 다른 17개 패키지에도 고정되어 노출을 확대했다. 악성 코드는 키 유도 함수에 후킹해 개인키·시드 문구를 기록·인코딩한 뒤 위조된 텔레메트리 엔드포인트로 전송했으며, 이후 해당 코드는 제거됐다. 개발자 계정이 침해된 경로로 배포돼 악성 패키지는 310회 다운로드됐고 악성코드는 300회 이상 내려받혔다. Injective CEO는 문제를 해결하고 npm의 영향을 받는 버전은 폐기(deprecated)됐으며 네트워크 자금에는 위험이 없다고 밝혔다. 보안연합(SEAL)은 공격자들이 GitHub·npm·Google 같은 합법적 플랫폼을 통한 공급망 공격을 증가시키고 있고, 이번 사례는 개발자 도구를 노리는 새로운 공격 벡터의 연장선이라고 지적했다. CertiK는 2026년 상반기 지갑 탈취로 33건에서 4억4,400만 달러가 도난당했다고 보고했다.
DYAX 투자자 예측
상승(롱) 31% · 하락(숏) 69%
총 373명 참여