📅 Sabtu, 18 Juli 2026 · --:-- WIB Ikuti kami
Ecosystem
ID
Paket Injective Dibajak - Kunci Dompet Diselundupkan Lewat 'Laporan Palsu' ke Server Tiruan

Paket Injective Dibajak - Kunci Dompet Diselundupkan Lewat ‘Laporan Palsu’ ke Server Tiruan

📚 Istilah di Artikel Ini:

Bayangkan mengunduh alat resmi dari sebuah proyek kripto ternama, lalu tanpa sadar menyerahkan kunci dompet Anda ke tangan penyerang. Itulah yang baru saja terjadi pada ekosistem Injective. Perusahaan keamanan siber Socket menemukan bahwa salah satu paket developer Injective sengaja disusupi kode jahat yang diam-diam menyalin kunci privat dan seed phrase pengguna - dan paket beracun itu sudah terunduh lebih dari 300 kali sebelum ketahuan.

Yang membuat kasus ini menakutkan bukan angka unduhannya, melainkan caranya bekerja: nyaris tak terlihat.

Bukan Blockchain yang Dibobol, Tapi Perkakas Pembuatnya

Menurut Socket, versi 1.20.21 dari paket @injectivelabs/sdk-ts - yang punya sekitar 50.000 unduhan per minggu - diubah setelah akun GitHub seorang developer berhasil dibajak. Commit mencurigakan mulai muncul sejak 8 Juni, lalu rilis beracun itu ditanamkan ke 17 paket lain di bawah nama resmi Injective Labs.

Kode jahatnya mencegat fungsi pembuatan kunci dompet, merekam kunci privat serta frasa pemulihan, lalu menyandikan data itu dan mengirimkannya lewat ‘telemetri palsu’ ke sebuah alamat web yang sengaja dibuat mirip server resmi Injective. Dengan menyamar sebagai laporan diagnostik biasa, pencurian data itu nyaris tak memicu kecurigaan.

“Kunci atau mnemonic apa pun yang pernah melewati paket yang terdampak harus dianggap sudah bocor,” tegas Socket, sembari memperingatkan bahwa aplikasi bisa saja terpapar bahkan jika mereka tak memasang SDK itu secara langsung. Serangan semacam ini menyasar perangkat lunak yang dipakai developer membangun dompet, bursa, dan aplikasi - bukan menyerang kriptografi atau smart contract jaringannya.

Sudah Ditambal, Tapi Belum Sepenuhnya Aman

CEO Injective, Eric Chen, menyatakan rilis npm yang bermasalah sudah dinonaktifkan dan celahnya sudah diperbaiki. Ia menegaskan tidak ada dana di jaringan Injective yang berisiko. Meski developer yang akunnya dibajak cepat mendeteksi penyusupan dan versi jahat sudah dihapus, Socket menilai kampanye serangan ini belum sepenuhnya tuntas.

Menyamar Polisi, Bikin Situs Palsu, Curi Kripto Rp86 Miliar - Gaya Hidup Mewah Ini yang Justru Membongkar Mereka📌 Baca JugaMenyamar Polisi, Bikin Situs Palsu, Curi Kripto Rp86 Miliar - Gaya Hidup Mewah Ini yang Justru Membongkar Mereka

Kasus ini bukan insiden tunggal. Aliansi keamanan SEAL mencatat penyerang makin gencar memakai platform seperti GitHub, npm, dan Google untuk menyebar malware. Serangan rantai pasok serupa menimpa paket Axios pada Maret, sementara pencurian dompet menjadi metode serangan kripto termahal sepanjang paruh pertama 2026 - melahap 444 juta dolar AS (sekitar Rp7,2 triliun) dari 33 kasus, menurut data CertiK.

Pelajaran yang Tak Boleh Diabaikan Pengguna Biasa

Serangan rantai pasok seperti ini mengubah aturan main: Anda bisa berhati-hati menjaga seed phrase, tapi tetap jadi korban hanya karena aplikasi yang Anda pakai dibangun di atas komponen yang diracuni jauh di hulu. Pesan praktisnya sederhana namun penting - perlakukan setiap kunci yang pernah menyentuh perangkat lunak terdampak sebagai sudah kompromi, dan segera pindahkan aset ke dompet baru bila ragu. Di dunia kripto, kepercayaan pada ‘sumber resmi’ pun kini punya batas.

Dilansir dari crypto.news.


Disclaimer: Artikel ini bersifat informatif dan edukatif, bukan nasihat keuangan. Aset kripto sangat fluktuatif dan berisiko tinggi. Selalu lakukan riset mandiri (DYOR) dan jangan berinvestasi melebihi kemampuanmu menanggung kerugian.

Gimana reaksimu?
Bagikan artikel ini:
📩 KABAR BITCOIN 1 MENIT

Berita kripto harian, langsung ke inbox

Ringkasan 1 menit untuk kamu yang selalu bergerak. Gratis, kapan saja bisa berhenti.

Total
0
Share