最优质的加密货币资讯直接发送到您的邮箱。.
- 网络安全公司 AikododentXRP Ledger 软件开发工具包中存在漏洞,黑客可以利用该漏洞窃取私钥。.
- XRPL 基金会已经修复了该问题,目前没有迹象表明有人受到影响。.
- 黑客现在正利用供应链攻击,以区块链项目的公共存储库为目标。.
软件安全公司Aikodo已向 XRP Ledger开发者发出警告,指出 XRPL软件开发工具包(SDK)存在漏洞,黑客可利用该漏洞窃取私钥。这家专注于开发者服务的公司表示,该漏洞存在于 XRPL 4.2.1至4.2.4版本中。.
据该 公司,他们于4月21日20:53(GMT+0)首次dent该漏洞,当时他们收到警报,称 XRPL软件包中新增了五个软件包。进一步检查显示,恶意攻击者通过添加后门窃取私钥,从而入侵了该软件包。
上面写着:
“我们很快确认,官方的 XPRL(Ripple)NPM 软件包已被老练的攻击者攻破,他们植入了后门程序,窃取加密货币私钥并访问加密货币钱包。”
鉴于该软件包平均每周下载量达 14 万次,并且有数千个网站和应用程序使用它,此次dent 可能对加密货币行业造成灾难性的供应链攻击。.
报告显示,黑客使用了多个版本的软件包,试图掩盖其踪迹,确保漏洞不被发现。然而,Aikido 凭借其 Aikido Intel 工具成功dent了该漏洞。Aikido Intel 工具能够监控 NPM 等公共软件包管理器,并dent任何恶意代码更改。.
XRPL 基金会承认妥协
与此同时, XRP XRPL 基金会( 背后的非营利组织 XRP)已确认此次事件dent 并发布了漏洞修复程序。该基金会在 X 平台上表示,已发布 XRPL 软件包 4.2.5 版本,以替换受影响的版本。
已建议持有受影响版本的开发者立即替换。基金会还从 NPM 上移除了所有受影响版本,以防止任何人下载。.
它还建议开发者使用最新的 v4.2.5 版本或更早的 v2.14.3 版本(该版本未被破坏),并补充说,该问题不会影响 XRPL 代码库或其 GitHub 存储库。
该基金会表示:
“此漏洞存在于用于与 XRP 分类账交互的 JavaScript 库 xrpl.js 中。它不会影响 XRP 分类账的代码库或 GitHub 代码库本身。使用 xrpl.js 的项目应立即升级到 v4.2.5。”
目前,网络上的多个协议已确认受到该漏洞的影响。Xaman Wallet指出,它使用内部基础设施和库来处理交易和私钥;而 XRPScan则表示,它使用的是旧版本的xrpl.js,并且不处理私钥。.
其他一些平台,例如 Bitfrost 钱包、 DeFi 协议 OpulenceX、memecoin RibbleXRP和 Web3 游戏平台 Gen3 Games 也已确认它们不受影响。.
与加密货币相关的供应链攻击日益猖獗
XRPL 供应链攻击是近期发生的又dent 恶意行为者利用软件包攻击加密货币相关项目的事件。.
今年三月,黑客曾试图通过攻击 GitHub Actions 供应链来攻破 Coinbase,目标是该交易所的开源 AgentKit。然而,他们的攻击并未成功,Coinbase 挫败了这次企图,转而攻击其他几个代码库。.
在此之前,网络安全专家发现,臭名昭著的 朝鲜黑客组织Lazarus 正在利用 NPM 代码库攻击加密货币开发者,并在项目中创建后门。目前尚不清楚他们是否参与了此次攻击。
最顶尖的加密货币专家都在阅读我们的简报。想 加入他们?
免责声明: 提供的信息并非交易建议。Cryptopolitan.com Cryptopolitan研究 对任何基于本页面信息进行的投资概不负责。我们tron您在做出任何投资决定前进行独立dent /或咨询合格的专业人士。
学速成课程
- 哪些加密货币可以让你赚钱
- 如何通过钱包提升安全性(以及哪些钱包真正值得使用)
- 专业人士使用的鲜为人知的投资策略
- 如何开始投资加密货币(使用哪些交易所、购买哪种加密货币最划算等)