Ripple odpowiada na naruszenie biblioteki XRPL łatką bezpieczeństwa
Krytyczna luka w zabezpieczeniach została wykryta i szybko załatana w ekosystemie XRP Ledger w tym tygodniu, po tym jak znaleziono złośliwy kod osadzony w powszechnie używanej bibliotece JavaScript xrpl.js.
Ten artykuł został przetłumaczony z oryginału. Przeczytaj oryginalną wersję przygotowaną przez naszego korespondenta tutaj.
Luka ta, jeśli nie zostanie załatana, mogła narazić na szwank tysiące portfeli XRP i stanowić katastrofalne zagrożenie dla szerszej infrastruktury kryptowalutowej.
Kluczowe wnioski
-Biblioteka będąca celem ataku: Naruszonym pakietem był xrpl.js, podstawowa biblioteka Ripple dla aplikacji opartych na XRP.
- Ograniczona ekspozycja: Zagrożeni byli tylko deweloperzy, którzy dokonali aktualizacji w ciągu 1 godziny.
- Natychmiastowa reakcja: Fundacja XRP Ledger wydała czyste wersje biblioteki w ciągu kilku godzin.
Oś czasu ataku i jego powstrzymanie
Luka została odkryta przez badaczy cyberbezpieczeństwa z Aikido Security w poniedziałek. Problem dotyczył backdoora wprowadzonego do xrpl.js - oficjalnej biblioteki XRP Ledger opublikowanej na platformie Node Package Manager (NPM). Złośliwa aktualizacja działała przez nieco ponad godzinę, ale była w stanie przesłać dane uwierzytelniające prywatnego portfela na serwer kontrolowany przez hakerów.
Naruszenie bezpieczeństwa miało miejsce między 16:46 a 17:49 czasu wschodniego, podczas którego kilka wersji pakietu zostało zaktualizowanych ukrytym złośliwym oprogramowaniem. Charlie Eriksen z Aikido potwierdził, że kod mógł spowodować eksfiltrację nasion portfela i kluczy prywatnych, narażając na ryzyko każdy projekt, który zintegrował zainfekowaną wersję.
Na szczęście główne projekty, takie jak Xaman Wallet i XRPScan, pozostały nienaruszone. XRP Ledger Foundation zareagowała szybko, wydając poprawione wersje i zalecając natychmiastowe aktualizacje. twitter-tweet:https://twitter.com/XRPLLabs/status/1914630749476544741].
Implikacje dla XRP i bezpieczeństwa open source
Biorąc pod uwagę, że tylko w zeszłym tygodniu xrpl.js zarejestrował ponad 140 000 pobrań, incydent ten podkreśla systemowe ryzyko stwarzane przez ataki łańcucha dostaw w ekosystemie open source. Ripple potwierdziło, że trwa pełna sekcja zwłok, która zostanie opublikowana po kompleksowym przeglądzie.
Eksperci ds. bezpieczeństwa zalecają wszystkim programistom korzystającym z narzędzi JavaScript XRP Ledger przeprowadzenie audytu swoich aplikacji i rotację wszelkich potencjalnie ujawnionych danych uwierzytelniających portfela.
Ripple obserwuje obecnie wzrost XRP w związku z wycofaniem odwołania przez SEC i możliwym uruchomieniem XRP ETF. Cena tokena wzrosła do 2,27 USD, wykazując wzrost o 8% w ciągu dnia.
Dynamika cen XRP (luty 2025 - kwiecień 2025). Źródło: TradingView
Ponadto informowaliśmy wcześniej, że XRP wyprzedza Solana w wyścigu o zatwierdzenie spot ETF.
bonus depozytowy dla wszystkich klientów
- Forex
- Crypto