소프트웨어 보안 회사인 아이코도(Aikodo)는 XRP Ledger 개발자들에게 XRPL 소프트웨어 개발 키트(SDK)에서 해커가 개인 키를 탈취할 수 있는 취약점이 발견되었다고 경고했습니다. 개발자 중심 기업인 아이코도는 해당 취약점이 XRPL 버전 4.2.1~4.2.4에서 발견된다고 밝혔습니다.
업체 에 따르면 XRP 에 5개의 새로운 패키지가 추가되었다는 알림을 받은 후 처음으로 dent . 자세히 조사한 결과, 악의적인 공격자가 개인 키를 탈취하기 위한 백도어를 추가하여 패키지를 손상시킨 것으로 드러났습니다.
거기에는 이렇게 적혀 있었습니다:
"우리는 XPRL(Ripple) 공식 NPM 패키지가 정교한 공격자들에 의해 손상되었으며, 이들이 암호화폐 개인 키를 탈취하고 암호화폐 지갑에 접근하기 위한 백도어를 심어놓았다는 사실을 신속하게 확인했습니다."
해당 패키지의 주간 평균 다운로드 수가 14만 건에 달하고 수천 개의 웹사이트와 애플리케이션에서 사용되고 있다는 점을 고려하면, 이번dent 암호화폐 업계에 치명적인 공급망 공격이 될 뻔했습니다.
보고서에 따르면 해커는 흔적을 숨기고 취약점이 드러나지 않도록 하기 위해 여러 버전의 패키지를 사용했습니다. 하지만 아이키도는 NPM과 같은 공개 패키지 관리자를 모니터링하고 악성 코드 변경 사항을dent하는 아이키도 인텔 도구를 통해 이를dent수 있었습니다.
XRPL 재단은 침해 사실을 인정합니다
한편, XRP 지원하는 비영리 단체인 XRP 재단 은 dent 인정 문제가 된 버전을 대체하는 XRP 버전 4.2.5를 게시했다고 밝혔습니다
해당 취약점이 있는 버전을 보유한 개발자에게는 즉시 새 버전으로 교체할 것을 권고했습니다. 또한 재단은 NPM에서 모든 취약점 버전을 삭제하여 더 이상 다운로드할 수 없도록 조치했습니다.
또한 개발자들은 최신 버전인 4.2.5 또는 취약점이 없는 훨씬 이전 버전인 2.14.3을 사용해야 한다고 권고했으며, 이 문제는 XRP L 코드베이스나 해당 GitHub 저장소에는 영향을 미치지 않는다고 덧붙였습니다.
재단 측은 다음과 같이 밝혔습니다
"이 취약점은 XRP Ledger와 상호 작용하는 JavaScript 라이브러리인 xrpl.js에서 발견되었습니다. XRP Ledger 코드베이스나 GitHub 저장소 자체에는 영향을 미치지 않습니다. xrpl.js를 사용하는 프로젝트는 즉시 v4.2.5로 업그레이드해야 합니다."
현재까지 네트워크상의 여러 프로토콜이 해당 취약점의 영향을 받았음을 확인했습니다. Xaman Wallet은 자체 인프라와 라이브러리를 사용하여 거래 및 개인 키를 처리한다고 밝혔으며, XRPScan은 이전 버전의 xrpl.js를 사용하고 개인 키는 처리하지 않는다고 밝혔습니다.
Bitfrost 지갑, DeFi 프로토콜 OpulenceX, 밈코인 RibbleXRP, Web3 게임 플랫폼 Gen3 Games 등 다른 업체들도 영향을 받지 않았다고 확인했습니다.
XRPL 공급망 공격은 악의적인 행위자들이 암호화폐 관련 프로젝트를 악용하기 위해 소프트웨어 패키지를 표적으로 삼는 최근dent 입니다.
지난 3월, 해커들은 코인베이스의 오픈소스 에이전트킷을 해킹하려는 목적으로 깃허브 액션 공급망 공격을 감행했습니다. 하지만 공격은 실패했고, 코인베이스는 대신 여러 저장소를 공격하기로 결정했습니다.
북한 해커 그룹 사실을 발견했습니다 . 이들이 이번 공격에 연루되었는지는 불분명합니다.
