XRPレジャー財団が侵害されたXRPL SDKのための緊急パッチを発行

XRPレジャーファンデーションは、攻撃者がプライベートキーを盗み、暗号通貨ウォレットを干上がらせる可能性がある重大な脆弱性を公式JavaScript SDK内で修正しました。

4月22日、XRPレジャーファンデーションは、XRPレジャーnpmパッケージの更新版をリリースし、侵害されたコードを削除し、ネットワーク上で開発を行う開発者のために安全な機能を復元しました。

xrpl npmパッケージは、XRP元帳と対話するための公式のJavaScript/TypeScriptライブラリです。開発者はこれを使用してネットワークに接続し、ウォレットを管理し、トランザクションを送信し、XRPL機能を使用して分散型アプリケーションを構築します。

このアップデートは、ブロックチェーンセキュリティ会社Aikidoが新しく公開されたライブラリの5つのバージョンで不審な活動を警告した数時間後に発表されました。

Aikidoの報告によると、悪意のある行為者がnpmにパッケージの偽のバージョンを公開し始め、最初は4.2.1からでした。これらのバージョンはGitHub上の公式リリースと一致せず、Aikidoの自動システムが異常を検出するのに役立った初期の赤信号となりました。

特に、悪意のある行為者は「暗号通貨のプライベートキーを盗み、暗号通貨ウォレットにアクセスするためのバックドアを仕込んでいた」とのことです。

これらの悪質なパッケージには、彼らが管理する悪意のあるドメイン0x9c.xyzにpingを送信することでプライベートキーを静かに吸い上げる隠れたコードが含まれていました。この悪意のある機能は、新しいウォレットが作成されるたびにトリガーされ、攻撃者に資金の制御を実質的に渡すことになりました。

Aikidoはその脆弱性を「潜在的に壊滅的」とラベル付けし、暗号における供給チェーン攻撃の中で最も悪質な種類の一つと呼びました。

xrplパッケージは毎週140,000以上のダウンロードを記録し、数十万のウェブサイトやアプリに組み込まれているため、バックドアはXRPエコシステムの大規模な部分をほとんど静かに危険にさらす可能性がありました。

攻撃者は、各リリースごとに悪意のあるパッケージを洗練させているのも見られました。初期バージョン (4.2.1 と 4.2.2) は、通常のコードレビュー中に疑念を引き起こさないように、ビルドされたJavaScriptファイルにのみ変更が含まれていました。後のバージョン、4.2.3 および 4.2.4 では、悪意のあるコードがTypeScriptのソースファイルに直接注入され、ペイロードがビルド全体に持続することを可能にしました。

合気道の研究者たちは、影響を受けたバージョンの使用を直ちに停止し、漏洩した可能性のあるプライベートキーやシードフレーズを回転させるようユーザーに促しました。また、ドメイン0x9c.xyzへの接続のためにネットワークログをスキャンし、継続的なセキュリティを確保するために、パッチ適用済みのバージョン4.2.5または2.14.3にアップグレードすることを推奨しました。

フォローアップの更新で、財団は侵害されたパッケージが削除されたことを確認し、XRPScan、First Ledger、Gen3 Gamesなどの主要プロジェクトは影響を受けなかったことを報告しました。

その事件はトレーダーを動揺させなかった; XRPは過去24時間で7.4%上昇し、執筆時点で$2.24で取引されている。

crypto.newsによって以前に報告されたように、XRP Ledgerは今年の初めに、取引検証の中断により2月5日にネットワークがほぼ1時間停止するという別の重大な事件に直面しました。しかし、事件の間にデータ損失は報告されませんでした。