بنیاد XRP Ledger برای SDK آسیبدیده XRPL یک وصله فوری منتشر کرد.
بنیاد XRP Ledger یک آسیبپذیری حیاتی را در SDK رسمی جاوااسکریپت خود برطرف کرده است که میتوانست به هکرها اجازه دهد تا کلیدهای خصوصی را دزدیده و کیفپولهای ارز دیجیتال را تخلیه کنند.
در تاریخ ۲۲ آوریل، بنیاد XRP Ledger نسخه بهروزرسانیشدهای از بسته npm XRP Ledger را منتشر کرد که کد آسیبدیده را حذف کرده و عملکرد ایمنی را برای توسعهدهندگانی که بر روی این شبکه کار میکنند، بازگرداند.
بسته xrpl npm کتابخانه رسمی جاوااسکریپت/تایپاسکریپت برای تعامل با XRP Ledger است. توسعهدهندگان از آن برای اتصال به شبکه، مدیریت کیفپولها، ارسال تراکنشها و ساخت برنامههای غیرمتمرکز با استفاده از قابلیتهای XRPL استفاده میکنند.
این بهروزرسانی تنها چند ساعت بعد از آن منتشر شد که شرکت امنیت بلاکچین Aikido فعالیتهای مشکوک را در پنج نسخه جدید منتشر شده از این کتابخانه شناسایی کرد.
بر اساس گزارش Aikido، بازیگران بد نسخههای جعلی این بسته را در npm منتشر کرده بودند که با نسخههای رسمی در GitHub همخوانی نداشتند و این یک نشانه خطر اولیه بود که به سیستمهای خودکار Aikido کمک کرد تا این ناهنجاری را شناسایی کنند.
قابل توجه است که بازیگران بد “یک درب پشتی برای دزدی کلیدهای خصوصی ارز دیجیتال و دسترسی به کیفپولهای ارز دیجیتال قرار داده بودند.”
این بستههای غیردوست شامل کد مخفی بودند که به آرامی کلیدهای خصوصی را با پینگ کردن یک دامنه مخرب 0x9c.xyz که تحت کنترل آنها بود، میدزدید. این تابع مخرب هر بار که یک کیفپول جدید ایجاد میشد فعال میشد و عملاً کنترل وجوه را به هکر واگذار میکرد.
Aikido این آسیبپذیری را “پتانسیل فاجعهبار” خواند و آن را یکی از بدترین نوع حملات زنجیره تأمین در دنیای کریپتو نامید.
از آنجایی که بسته xrpl بیش از ۱۴۰،۰۰۰ دانلود هفتگی دارد و در صدها هزار وبسایت و برنامه جاسازی شده است، این درب پشتی پتانسیل آن را داشت که بخشی عظیم از اکوسیستم XRP را تقریباً به آرامی به خطر بیندازد.
این هکر همچنین هر بار که نسخه جدیدی منتشر میشد، بستههای مخرب را بهبود میبخشید. نسخههای اولیه (۴.۲.۱ و ۴.۲.۲) تغییراتی فقط در فایلهای جاوااسکریپت ساخته شده داشتند، احتمالاً برای جلوگیری از تحریک شک و شبهه در طی بررسیهای کد معمول. نسخههای بعدی، مانند ۴.۲.۳ و ۴.۲.۴، کد مخرب را به طور مستقیم به فایلهای منبع تایپاسکریپت تزریق کردند و به بارگذاری کد اجازه میداد تا در تمام ساختها باقی بماند.
محققان Aikido از کاربران خواستند تا فوراً از نسخههای آسیبدیده استفاده نکنند و هر کلید خصوصی یا عبارت seed که ممکن است در معرض خطر بوده را تغییر دهند. آنها همچنین توصیه کردند که لاگهای شبکه را برای اتصالات به دامنه ۰x۹c.xyz اسکن کرده و به نسخههای بهروزرسانیشده، ۴.۲.۵ یا ۲.۱۴.۳، ارتقا دهند تا از امنیت ادامهدار اطمینان حاصل کنند.
در بهروزرسانیهای بعدی، بنیاد تأیید کرد که بستههای آسیبدیده حذف شدهاند و پروژههای کلیدی مانند XRPScan، First Ledger و Gen3 Games تحت تأثیر قرار نگرفتهاند.
این حادثه موجب نگرانی معاملهگران نشد؛ XRP در ۲۴ ساعت گذشته ۷.۴% افزایش یافته و در زمان نگارش این مقاله به قیمت ۲.۲۴ دلار معامله میشود.
بر اساس گزارشهای پیشین، Ledger XRP اوایل امسال با یک حادثه عمده دیگر مواجه شد، زمانی که اختلال در اعتبارسنجی تراکنشها شبکه را در تاریخ ۵ فوریه برای تقریباً یک ساعت متوقف کرد. با این حال، هیچ گونه از دست رفتن داده در طول این حادثه گزارش نشد.
