Фонд XRP Ledger випустив терміновий патч для скомпрометованого XRPL SDK

Фонд XRP Ledger виправив критичну уразливість у своєму офіційному JavaScript SDK, яка могла дозволити зловмисникам викрасти приватні ключі та вкрасти кошти з криптовалютних гаманців.

22 квітня Фонд XRP Ledger випустив оновлену версію пакету npm для XRP Ledger, видаливши зламаний код і відновивши безпечну функціональність для розробників, які працюють у мережі.

Пакет xrpl npm є офіційною бібліотекою JavaScript/TypeScript для взаємодії з XRP Ledger. Розробники використовують його для підключення до мережі, управління гаманцями, відправки транзакцій та створення децентралізованих додатків з використанням функціональності XRPL.

Оновлення надійшло лише через кілька годин після того, як компанія Aikido, що займається безпекою блокчейну, виявила підозрілу активність у п’яти нових версіях бібліотеки.

Згідно з доповіддю Aikido, зловмисники опублікували фальшиві версії пакета на npm, починаючи з 4.2.1. Ці версії не відповідали жодним офіційним випускам на GitHub, що стало першим тривожним знаком, який допоміг автоматизованим системам Aikido виявити аномалію.

Особливо, погані актори “вставили заднє вікно, щоб вкрасти приватні ключі криптовалюти та отримати доступ до криптовалютних гаманців.”

Ці шкідливі пакунки містили прихований код, який тихо витягував приватні ключі, пінгуючи шкідливий домен 0x9c.xyz, контрольований ними. Шкідлива функція активувалася щоразу, коли створювався новий гаманець, ефективно передаючи контроль над коштами зловмиснику.

Aikido назвав вразливість “потенційно катастрофічною”, назвавши її одним з найгірших видів атак на ланцюг постачання в криптовалюті.

Оскільки пакет xrpl має понад 140 000 завантажень на тиждень і вбудований у сотні тисяч вебсайтів та додатків, задня дверцята мала потенціал компрометувати величезну частину екосистеми XRP майже безшумно.

Зловмисника також бачили, як він вдосконалює шкідливі пакети з кожним випуском. Ранні версії (4.2.1 і 4.2.2) містили зміни лише в вбудованих JavaScript-файлах, ймовірно, щоб уникнути підозри під час звичайних перевірок коду. Пізніші версії, такі як 4.2.3 і 4.2.4, вбудували шкідливий код безпосередньо в вихідні файли TypeScript, що дозволяло зберігати шкідливий код між збірками.

Дослідники Aikido закликали користувачів терміново припинити використання уражених версій та змінити будь-які приватні ключі або фрази відновлення, які могли бути скомпрометовані. Вони також рекомендували перевірити журнали мережі на наявність з’єднань з доменом 0x9c.xyz та оновитися до виправлених версій, 4.2.5 або 2.14.3, щоб забезпечити подальшу безпеку.

У наступних оновленнях фонд підтвердив, що скомпрометовані пакети були видалені і що ключові проекти, такі як XRPScan, First Ledger та Gen3 Games, не постраждали.

Інцидент не налякав трейдерів; XRP зріс на 7,4% за останні 24 години, торгуючись за $2,24 на момент написання.

Як раніше повідомлялося crypto.news, XRP Ledger зіткнувся з ще одним великим інцидентом на початку цього року, коли збої в підтвердженні транзакцій призупинили роботу мережі майже на годину 5 лютого. Однак під час інциденту не було зафіксовано втрати даних.