Foi descoberta uma grave vulnerabilidade de software em uma versão recentemente atualizada da biblioteca de desenvolvimento JavaScript do XRP Ledger, e um alerta foi emitido em toda a comunidade de desenvolvedores de criptomoeda.
A Fundação XRP Ledger anunciou que foi encontrada uma vulnerabilidade em várias versões do pacote xrpl JavaScript, que é uma kit de desenvolvimento de software amplamente utilizado para interagir com o XRP Ledger.
De acordo com a fundação, isso foi detectado por Charlie Eriksen, um pesquisador de malware na Aikido Security, que descreveu o problema como um ataque à cadeia de suprimentos “potencialmente destrutivo”.
Eriksen alertou que “esta vulnerabilidade pode permitir que indivíduos mal-intencionados roubem as chaves privadas dos usuários e obtenham acesso não autorizado às carteiras”, mas a incerteza sobre se algum usuário foi diretamente afetado permanece.
Entre as versões afetadas estão as versões de v4.2.1 a v4.2.4 e a v2.14.2. Desde então, a equipe de engenharia do XRP Ledger lançou a versão v4.2.5, que invalida os pacotes comprometidos. É fortemente recomendado que os usuários e desenvolvedores que dependem das versões afetadas atualizem imediatamente.
A instituição disse o seguinte em um comunicado de acompanhamento feito através das redes sociais:
“Para esclarecer: Esta vulnerabilidade está no xrpl.js, uma biblioteca JavaScript para interagir com o XRP Ledger. Não afeta a base de código do XRP Ledger ou o próprio repositório do GitHub.”
O código malicioso parece ter sido introduzido através do Node Package Manager (NPM), uma plataforma amplamente utilizada para compartilhar pacotes JavaScript. Projetos como Xaman Wallet e XRPScan confirmaram que os seus serviços provavelmente não foram afetados, pois não adotaram as versões comprometidas.
A Fundação XRP Ledger afirmou que um post-mortem completo sobre o incidente será publicado assim que mais informações sobre como o backdoor foi utilizado forem obtidas.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
