В недавно обновленной версии библиотеки разработки JavaScript для XRP Ledger была обнаружена серьезная уязвимость программного обеспечения, и сообщество разработчиков криптовалют было приведено в состояние тревоги.
Фонд XRP Ledger объявил о наличии уязвимости в нескольких версиях пакета xrpl JavaScript, который широко используется для взаимодействия с XRP Ledger.
По данным фонда, это было обнаружено Чарли Эриксеном, который является исследователем вредоносного ПО в Aikido Security и описал проблему как "потенциально разрушательную" атаку на цепочку поставок.
Эриксен предупредил, что "Этот уязвимость может позволить злоумышленникам украсть частные ключи пользователей и получить несанкционированный доступ к кошелькам", однако остается неясным, затронут ли какие-либо пользователи напрямую.
Среди затронутых версий находятся версии от v4.2.1 до v4.2.4 и v2.14.2. Команда инженеров XRP Ledger с тех пор выпустила версию v4.2.5, которая аннулирует скомпрометированные пакеты. Пользователям и разработчикам, полагающимся на затронутые версии, настоятельно рекомендуется немедленно обновиться.
Фонд в своем заявлении о подписке, опубликованном в социальных сетях, сказал следующее:
"Чтобы прояснить: эта уязвимость находится в xrpl.js, библиотеке JavaScript для взаимодействия с XRP Ledger. Она не затрагивает кодовую базу XRP Ledger или сам репозиторий GitHub."
Похоже, что вредоносный код был представлен через Node Package Manager (NPM), который является широко используемой платформой для обмена пакетами JavaScript. Проекты, такие как Xaman Wallet и XRPScan, подтвердили, что их услуги, вероятно, не пострадали, поскольку они не приняли подверженные риску версии.
Фонд XRP Ledger заявил, что будет опубликован полный пост-мортем по инциденту, когда будет получена дополнительная информация о том, как использовался backdoor.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Фонд XRP сделал первое заявление о уязвимости безопасности, которая может привести к краже активов пользователей: "Необходимо немедленно обновить"
В недавно обновленной версии библиотеки разработки JavaScript для XRP Ledger была обнаружена серьезная уязвимость программного обеспечения, и сообщество разработчиков криптовалют было приведено в состояние тревоги.
Фонд XRP Ledger объявил о наличии уязвимости в нескольких версиях пакета xrpl JavaScript, который широко используется для взаимодействия с XRP Ledger.
По данным фонда, это было обнаружено Чарли Эриксеном, который является исследователем вредоносного ПО в Aikido Security и описал проблему как "потенциально разрушательную" атаку на цепочку поставок.
Эриксен предупредил, что "Этот уязвимость может позволить злоумышленникам украсть частные ключи пользователей и получить несанкционированный доступ к кошелькам", однако остается неясным, затронут ли какие-либо пользователи напрямую.
Среди затронутых версий находятся версии от v4.2.1 до v4.2.4 и v2.14.2. Команда инженеров XRP Ledger с тех пор выпустила версию v4.2.5, которая аннулирует скомпрометированные пакеты. Пользователям и разработчикам, полагающимся на затронутые версии, настоятельно рекомендуется немедленно обновиться.
Фонд в своем заявлении о подписке, опубликованном в социальных сетях, сказал следующее:
"Чтобы прояснить: эта уязвимость находится в xrpl.js, библиотеке JavaScript для взаимодействия с XRP Ledger. Она не затрагивает кодовую базу XRP Ledger или сам репозиторий GitHub."
Похоже, что вредоносный код был представлен через Node Package Manager (NPM), который является широко используемой платформой для обмена пакетами JavaScript. Проекты, такие как Xaman Wallet и XRPScan, подтвердили, что их услуги, вероятно, не пострадали, поскольку они не приняли подверженные риску версии.
Фонд XRP Ledger заявил, что будет опубликован полный пост-мортем по инциденту, когда будет получена дополнительная информация о том, как использовался backdoor.