XRP Ledger Foundation確認了SDK違規和問題緊急解決

軟件安全公司Aikodo已向 XRP Ledger開發人員提醒 XRPL軟件開發套件（SDK）的漏洞，該案例允許黑客竊取私鑰。以開發商爲中心的公司表示，該漏洞在 XRPL版本4.2.1 - 4.2.4中。

根據該公司，它首先dentXRP 中的漏洞。仔細檢查表明，壞演員通過添加後門來竊取私鑰來妥協包裹。

它說：

“我們很快證實了官方的XPRL（Ripple）NPM軟件包受到了精緻的攻擊者的損害，後門會竊取後門以竊取加密貨幣私鑰並獲得加密貨幣錢包。”

鑑於該軟件包平均每週下載140,000個，並且數千個網站和應用程序使用它，因此Incident 可能是加密貨幣行業的災難性供應鏈攻擊。

根據報告，黑客使用了幾個版本的軟件包，以試圖隱藏他們的步道，並確保漏洞看不到。但是，由於Aikido Intel工具，Aikido能夠對其進行dent，該工具可以監視NPM和Ident等公共包裝經理的任何惡意代碼更改。

XRPL基金會承認妥協

同時， XRP 背後的非營利組織XRP Foundation已經承認了Inci dent ，併爲漏洞部署瞭解決方案。基金會在X上說，它現在已發佈了XRP L軟件包4.2.5版，以替代折衷的版本。

建議擁有受損版本的開發人員立即更換它們。基金會還棄用了NPM上的所有折衷版本，因此沒有人可以下載它們。

它還建議開發人員應使用最新的v4.2.5或較舊的v2.14.3，該v2.14.3並未受到損害，並補充說，該問題不會影響XRP L代碼庫或其GitHub存儲庫。

基金會說：

“此漏洞是在Xrpl.js中，用於與 XRP Ledger進行交互的JavaScript庫。它不會影響 XRP Ledger Codebase或GitHub存儲庫本身。使用XRPL.JS的項目應立即升級到v4.2.5。”

到目前爲止，網絡上的幾個協議已經確認漏洞確實影響了它們。 Xaman Wallet指出，它使用內部基礎結構和庫來處理交易和私鑰，而 XRP掃描說它使用Xrpl.js的較舊版本，並且不處理私鑰。

其他，例如Bitfrost Wallet， DeFi 協議Opulencex，MemeCoin RibbleXRP和Web3遊戲平臺GEN3 GEN3遊戲也證實了它們不受影響。

與加密相關的供應鏈攻擊變得普遍

XRPL供應鏈攻擊是針對軟件包來利用與加密相關的項目的最新不良演員的dent 。

早在三月份，黑客試圖打破交易所的開源代理商，以供應鏈攻擊的供應鏈攻擊，將Coinbase瞄準。但是，他們失敗了，Coinbase挫敗了這一嘗試，決定攻擊幾個存儲庫。

在此之前，網絡安全專家發現，臭名昭著的朝鮮黑客集團Lazarus正在使用NPM存儲庫來針對加密開發人員，並在項目中創建後門。目前尚不清楚他們是否參與

密碼大都會學院：厭倦了市場波動？瞭解DeFi幫助您建立穩定的被動收入。立即註冊