软件安全公司Aikodo已向 XRP Ledger开发人员提醒 XRPL软件开发套件(SDK)的漏洞,该案例允许黑客窃取私钥。以开发商为中心的公司表示,该漏洞在 XRPL版本4.2.1 - 4.2.4中。
根据该公司,它首先dentXRP 中的漏洞。仔细检查表明,坏演员通过添加后门来窃取私钥来妥协包裹。
它说:
“我们很快证实了官方的XPRL(Ripple)NPM软件包受到了精致的攻击者的损害,后门会窃取后门以窃取加密货币私钥并获得加密货币钱包。”
鉴于该软件包平均每周下载140,000个,并且数千个网站和应用程序使用它,因此Incident 可能是加密货币行业的灾难性供应链攻击。
根据报告,黑客使用了几个版本的软件包,以试图隐藏他们的步道,并确保漏洞看不到。但是,由于Aikido Intel工具,Aikido能够对其进行dent,该工具可以监视NPM和Ident等公共包装经理的任何恶意代码更改。
XRPL基金会承认妥协
同时, XRP 背后的非营利组织XRP Foundation已经承认了Inci dent ,并为漏洞部署了解决方案。基金会在X上说,它现在已发布了XRP L软件包4.2.5版,以替代折衷的版本。
建议拥有受损版本的开发人员立即更换它们。基金会还弃用了NPM上的所有折衷版本,因此没有人可以下载它们。
它还建议开发人员应使用最新的v4.2.5或较旧的v2.14.3,该v2.14.3并未受到损害,并补充说,该问题不会影响XRP L代码库或其GitHub存储库。
基金会说:
“此漏洞是在Xrpl.js中,用于与 XRP Ledger进行交互的JavaScript库。它不会影响 XRP Ledger Codebase或GitHub存储库本身。使用XRPL.JS的项目应立即升级到v4.2.5。”
到目前为止,网络上的几个协议已经确认漏洞确实影响了它们。 Xaman Wallet指出,它使用内部基础结构和库来处理交易和私钥,而 XRP扫描说它使用Xrpl.js的较旧版本,并且不处理私钥。
其他,例如Bitfrost Wallet, DeFi 协议Opulencex,MemeCoin RibbleXRP和Web3游戏平台GEN3 GEN3游戏也证实了它们不受影响。
XRPL供应链攻击是针对软件包来利用与加密相关的项目的最新不良演员的dent 。
早在三月份,黑客试图打破交易所的开源代理商,以供应链攻击的供应链攻击,将Coinbase瞄准。但是,他们失败了,Coinbase挫败了这一尝试,决定攻击几个存储库。
在此之前,网络安全专家发现,臭名昭著的朝鲜黑客集团Lazarus正在使用NPM存储库来针对加密开发人员,并在项目中创建后门。目前尚不清楚他们是否参与
密码大都会学院:厌倦了市场波动?了解DeFi帮助您建立稳定的被动收入。立即注册
