在最近更新的XRP Ledger JavaScript開發庫版本中發現了嚴重的軟件漏洞,加密貨幣開發者社區普遍發出了警報。
XRP Ledger 基金會宣布,在與 XRP Ledger 進行交互的常用軟件開發工具包 xrpl JavaScript 包的多個版本中發現了一個安全漏洞。
根據Vakfa,這一漏洞是由Aikido Security的惡意軟件研究員Charlie Eriksen發現的,他將這個問題描述爲“一種潛在的破壞性”供應鏈攻擊。
埃裏克森警告說:“這個安全漏洞可能允許惡意個人竊取用戶的私鑰並獲得對錢包的未經授權訪問”,但尚不清楚是否有任何用戶直接受到影響。
受影響的版本包括從v4.2.1到v4.2.4以及v2.14.2的版本。自那時以來,XRP Ledger工程團隊發布了v4.2.5版本,使被安全漏洞影響的包無效。建議依賴受影響版本的用戶和開發者立即進行更新。
Vakıf在社交媒體上發布的跟進聲明中表示:
“爲了澄清:這個漏洞存在於一個名爲 xrpl.js 的 JavaScript 庫中,該庫用於與 XRP Ledger 進行交互。它並未影響 XRP Ledger 的代碼庫或 GitHub 存儲庫本身。”
惡意代碼似乎是通過一個廣泛用於分享JavaScript包的平台——Node Package Manager (NPM)引入的。由於項目如Xaman Wallet和XRPScan沒有採用受威脅的版本,確認它們的服務可能未受到影響。
XRP Ledger Vakfı表示,當獲得更多關於後門如何使用的信息時,將發布事件的完整事後分析。
