- Предупреждение о безопасности: бэкдор в пакете XRPL.js NPM (v4.2.1-4) украл закрытые ключи. Технический директор Ripple предупреждает разработчиков; выпущена защищенная версия 4.2.5.
- Скомпрометирован был только дистрибутив NPM, репозиторий GitHub остался нетронутым.
- Версия 4.2.5 выпущена быстро для исправления уязвимости и обеспечения безопасности сред разработки
Критическое нарушение безопасности потрясло сообщество разработчиков XRP после обнаружения бэкдора в пакете XRPL.js версий 4.2.1–4.2.4 на NPM. Вредоносный код, присутствующий в версиях 4.2.1–4.2.4, был способен красть закрытые ключи пользователей и передавать их злоумышленникам.
Это побудило главного технического директора Ripple Дэвида Шварца выпустить публичное предупреждение. Разработчикам, использующим эти скомпрометированные версии, настоятельно рекомендуется рассматривать любые раскрытые учетные данные как скомпрометированные.
Нарушение ограничено NPM; Core Ledger Safe
Взлом, о котором впервые сообщила Aikido Security, показал, что распределение NPM XRPL.js было изменено с помощью кода для кражи ключей; репозиторий GitHub не был затронут. Это говорит о том, что был скомпрометирован только канал NPM.
По теме: Стейблкоин RLUSD от Ripple запущен для кредитования и заимствования на Aave V3
Следовательно, разработчики, использующие надежные источники, такие как GitHub, остаются незатронутыми. Старший инженер RippleX Маюха Вадари подтвердила, что ядро XRP Ledger по-прежнему безопасно и работает нормально.
Выпущено быстрое исправление, экосистема реагирует
Менее чем за 24 часа вредоносные версии были удалены из NPM. Безопасная версия 4.2.5 теперь опубликована как исправление. Кроме того, пользователи, работающие в ветке 2.x, могут безопасно использовать версию 2.14.3. Быстрые действия XRP Ledger Foundation и более широкой команды разработчиков Ripple помогли сдержать то, что могло стать широкомасштабной угрозой.
По теме: Мечты Ripple о публичном листинге зависят от решения одного судьи о продаже
Эксплойт вызвал обеспокоенность в сообществе разработчиков блокчейна, особенно сервисов, интегрирующих XRPL.js. Поставщики кошельков Xaman, First Ledger и Gen3Games заявили, что они не были скомпрометированы. Фонд XRP Ledger также удалил вредоносные пакеты.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
