Фонд XRP оголосив про вразливість безпеки, яка може призвести до викрадення активів користувачів: "Треба терміново оновити"

У нещодавно оновленій версії бібліотеки розробки JavaScript для XRP Ledger було виявлено серйозну програмну уразливість, що викликало тривогу в загальному співтоваристві розробників криптовалют.

Фонд XRP Ledger оголосив, що він виявив вразливість у кількох версіях пакету xrpl JavaScript, який є поширено використовуваним набором інструментів для взаємодії з XRP Ledger.

Згідно з фондом, це було виявлено Чарлі Еріксеном, який є дослідником шкідливого програмного забезпечення в Aikido Security, і він описав проблему як “потенційно руйнівну” атаку на ланцюг постачання.

Еріксен застеріг, що “ця вразливість може дозволити зловмисникам викрасти приватні ключі користувачів і отримати несанкціонований доступ до гаманців”, але залишається невизначеним, чи безпосередньо постраждає якийсь користувач.

Серед версій, на які вплинули, є версії від v4.2.1 до v4.2.4 та v2.14.2. Інженерна команда XRP Ledger з того часу випустила версію v4.2.5, яка анулює скомпрометовані пакети. Користувачам і розробникам, які покладаються на уражені версії, настійно рекомендовано терміново оновити.

Фонд у своєму оголошенні про стеження в соціальних мережах сказав наступне:

“Щоб прояснити: ця вразливість знаходиться в бібліотеці JavaScript під назвою xrpl.js, яка використовується для взаємодії з XRP Ledger. Це не впливає на кодову базу XRP Ledger або сам репозиторій GitHub.”

Шкідливий код, схоже, був введений через Node Package Manager (NPM), широко використовувану платформу для спільного використання пакетів JavaScript. Такі проекти, як Xaman Wallet і XRPS, можуть підтвердити, що їхні сервіси, швидше за все, не постраждали, оскільки вони не прийняли скомпрометовані версії.

Фонд XRP Ledger зазначив, що буде опубліковано повний пост-мортем, коли буде отримано більше інформації про те, як використовувався бекдор.