XRP Ledger’ın JavaScript geliştirme kütüphanesinin yakın zamanda güncellenen bir sürümünde ciddi bir yazılım açığı keşfedildi ve kripto para geliştirici topluluğu genelinde alarm verildi.
XRP Ledger Vakfı, XRP Ledger ile etkileşimde bulunmak için yaygın olarak kullanılan bir yazılım geliştirme kiti olan xrpl JavaScript paketinin birden fazla sürümünde bir güvenlik açığı bulunduğunu açıkladı.
Vakfa göre bu açık, Aikido Security’de kötü amaçlı yazılım araştırmacısı olan ve sorunu “potansiyel olarak yıkıcı” bir tedarik zinciri saldırısı olarak tanımlayan Charlie Eriksen tarafından tespit edildi.
Eriksen, “Bu güvenlik açığı, kötü niyetli kişilerin kullanıcıların özel anahtarlarını çalmasına ve cüzdanlara yetkisiz erişim sağlamasına olanak tanıyabilir” uyarısında bulundu, ancak herhangi bir kullanıcının doğrudan etkilenip etkilenmediği belirsizliğini koruyor.
Etkilenen sürümler arasında v4.2.1’den v4.2.4’e ve v2.14.2’ye kadar olan sürümler yer alıyor. XRP Ledger mühendislik ekibi o zamandan bu yana, güvenliği ihlal edilmiş paketleri geçersiz kılan v4.2.5 sürümünü yayınladı. Etkilenen sürümlere güvenen kullanıcıların ve geliştiricilerin derhal güncelleme yapmaları şiddetle tavsiye edildi.
Vakıf, sosyal medya üzerinden yaptığı takip açıklamasında şunları söyledi:
“Açıklığa kavuşturmak için: Bu güvenlik açığı, XRP Ledger ile etkileşim için bir JavaScript kütüphanesi olan xrpl.js’dedir. XRP Ledger kod tabanını ya da GitHub deposunun kendisini etkilememektedir.”
Kötü amaçlı kod, JavaScript paketlerini paylaşmak için yaygın olarak kullanılan bir platform olan Node Package Manager (NPM) aracılığıyla tanıtılmış gibi görünüyor. Xaman Wallet ve XRPScan gibi projeler, tehlikeye atılan sürümleri benimsemedikleri için hizmetlerinin muhtemelen etkilenmediğini doğruladı.
XRP Ledger Vakfı, backdoor’un nasıl kullanıldığına dair daha fazla bilgi elde edildiğinde olayla ilgili tam bir post-mortem yayınlanacağını belirtti.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
XRP Vakfı, Kullanıcıların Varlıklarının Çalınmasıyla Sonuçlanabilecek Güvenlik Açığı İlk Açıklamayı Yaptı: "Hemen Güncellenmeli"
XRP Ledger’ın JavaScript geliştirme kütüphanesinin yakın zamanda güncellenen bir sürümünde ciddi bir yazılım açığı keşfedildi ve kripto para geliştirici topluluğu genelinde alarm verildi.
XRP Ledger Vakfı, XRP Ledger ile etkileşimde bulunmak için yaygın olarak kullanılan bir yazılım geliştirme kiti olan xrpl JavaScript paketinin birden fazla sürümünde bir güvenlik açığı bulunduğunu açıkladı.
Vakfa göre bu açık, Aikido Security’de kötü amaçlı yazılım araştırmacısı olan ve sorunu “potansiyel olarak yıkıcı” bir tedarik zinciri saldırısı olarak tanımlayan Charlie Eriksen tarafından tespit edildi.
Eriksen, “Bu güvenlik açığı, kötü niyetli kişilerin kullanıcıların özel anahtarlarını çalmasına ve cüzdanlara yetkisiz erişim sağlamasına olanak tanıyabilir” uyarısında bulundu, ancak herhangi bir kullanıcının doğrudan etkilenip etkilenmediği belirsizliğini koruyor.
Etkilenen sürümler arasında v4.2.1’den v4.2.4’e ve v2.14.2’ye kadar olan sürümler yer alıyor. XRP Ledger mühendislik ekibi o zamandan bu yana, güvenliği ihlal edilmiş paketleri geçersiz kılan v4.2.5 sürümünü yayınladı. Etkilenen sürümlere güvenen kullanıcıların ve geliştiricilerin derhal güncelleme yapmaları şiddetle tavsiye edildi.
Vakıf, sosyal medya üzerinden yaptığı takip açıklamasında şunları söyledi:
“Açıklığa kavuşturmak için: Bu güvenlik açığı, XRP Ledger ile etkileşim için bir JavaScript kütüphanesi olan xrpl.js’dedir. XRP Ledger kod tabanını ya da GitHub deposunun kendisini etkilememektedir.”
Kötü amaçlı kod, JavaScript paketlerini paylaşmak için yaygın olarak kullanılan bir platform olan Node Package Manager (NPM) aracılığıyla tanıtılmış gibi görünüyor. Xaman Wallet ve XRPScan gibi projeler, tehlikeye atılan sürümleri benimsemedikleri için hizmetlerinin muhtemelen etkilenmediğini doğruladı.
XRP Ledger Vakfı, backdoor’un nasıl kullanıldığına dair daha fazla bilgi elde edildiğinde olayla ilgili tam bir post-mortem yayınlanacağını belirtti.