Die Sicherheitsfirma Socket hat eine Sicherheitslücke im npm-Paket @injectivelabs/sdk-ts aufgedeckt, das von der Injective-Blockchain verwendet wird. Hacker hatten bösartigen Code eingefügt, um private Wallet-Schlüssel und Mnemonics zu stehlen. Die Angreifer kompromittierten das GitHub-Konto eines Entwicklers, um den Angriff auszuführen, kodierten die gestohlenen Daten und sendeten sie an einen Server, der als legitime Injective-Netzwerkadresse getarnt war. Das Paket, das wöchentlich etwa 50.000 Mal heruntergeladen wird, hatte seine bösartige Version 1.20.21 am 8. Juni erhalten, was 17 weitere Pakete im Injective Labs npm-Bereich betraf. Obwohl Injective-CEO Eric Chen bestätigte, dass das Problem behoben und die betroffenen Versionen zurückgezogen wurden, wurde das bösartige Paket über 310 Mal heruntergeladen. Socket warnt, dass der Angriff noch nicht vollständig eingedämmt ist.