Quỹ XRP Ledger đã vá một lỗ hổng nghiêm trọng trong SDK JavaScript chính thức của mình, có thể cho phép kẻ tấn công đánh cắp khóa riêng và rút tiền từ ví tiền điện tử.
Vào ngày 22 tháng 4, Quỹ XRP Ledger đã phát hành phiên bản cập nhật của gói npm XRP Ledger, loại bỏ mã bị xâm phạm và phục hồi chức năng an toàn cho các nhà phát triển xây dựng trên mạng.
Gói npm xrpl là thư viện JavaScript/TypeScript chính thức để tương tác với XRP Ledger. Các nhà phát triển sử dụng nó để kết nối với mạng, quản lý ví, gửi giao dịch và xây dựng các ứng dụng phi tập trung sử dụng các chức năng của XRPL.
Cập nhật này xuất hiện chỉ vài giờ sau khi công ty bảo mật blockchain Aikido cảnh báo về hoạt động đáng ngờ trong năm phiên bản mới được công bố của thư viện.
Theo báo cáo của Aikido, các tác nhân xấu đã phát hành các phiên bản giả của gói đến npm, bắt đầu từ 4.2.1. Các phiên bản này không khớp với bất kỳ bản phát hành chính thức nào trên GitHub, một dấu hiệu đỏ sớm đã giúp các hệ thống tự động của Aikido phát hiện ra sự bất thường.
Đặc biệt, những kẻ xấu đã "cài đặt một lối vào để đánh cắp khóa riêng của tiền điện tử và chiếm quyền truy cập vào ví tiền điện tử."
Các gói rogue này bao gồm mã ẩn mà lén lút lấy cắp khóa riêng bằng cách ping đến một miền độc hại 0x9c.xyz do chúng kiểm soát. Chức năng độc hại được kích hoạt mỗi khi một ví mới được tạo, hiệu quả là giao quyền kiểm soát quỹ cho kẻ tấn công.
Aikido đã gán nhãn lỗ hổng này là "có thể gây thảm họa", gọi đây là một trong những loại tấn công chuỗi cung ứng tồi tệ nhất trong crypto.
Vì gói xrpl có hơn 140.000 lượt tải hàng tuần và được nhúng trong hàng trăm nghìn trang web và ứng dụng, cửa hậu này có khả năng làm tổn hại một phần lớn của hệ sinh thái XRP gần như một cách im lặng.
Kẻ tấn công cũng được thấy đang tinh chỉnh các gói độc hại với mỗi lần phát hành. Các phiên bản sớm (4.2.1 và 4.2.2) chỉ bao gồm các thay đổi trong các tệp JavaScript được xây dựng, có khả năng để tránh gây nghi ngờ trong các đánh giá mã thông thường. Các phiên bản sau đó, như 4.2.3 và 4.2.4, đã chèn mã độc hại trực tiếp vào các tệp nguồn TypeScript, cho phép tải trọng tồn tại qua các lần biên dịch.
Các nhà nghiên cứu Aikido đã kêu gọi người dùng ngay lập tức ngừng sử dụng các phiên bản bị ảnh hưởng và xoay vòng bất kỳ khóa riêng tư hoặc cụm từ hạt giống nào có thể đã bị lộ. Họ cũng khuyến nghị quét nhật ký mạng để tìm các kết nối đến miền 0x9c.xyz và nâng cấp lên các phiên bản đã được sửa lỗi, 4.2.5 hoặc 2.14.3, để đảm bảo an toàn liên tục.
Trong các bản cập nhật tiếp theo, tổ chức đã xác nhận rằng các gói bị xâm phạm đã được loại bỏ và các dự án quan trọng, chẳng hạn như XRPScan, First Ledger và Gen3 Games, không bị ảnh hưởng.
Sự cố không làm ảnh hưởng đến các nhà giao dịch; XRP đã tăng 7.4% trong 24 giờ qua, giao dịch ở mức $2.24 tại thời điểm viết.
Như đã được báo cáo trước đó bởi crypto.news, XRP Ledger đã gặp phải một sự cố lớn khác vào đầu năm nay khi sự gián đoạn trong việc xác thực giao dịch đã làm ngừng mạng trong gần một giờ vào ngày 5 tháng 2. Tuy nhiên, không có mất mát dữ liệu nào được báo cáo trong sự cố này.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Quỹ XRP Ledger phát hành bản vá khẩn cấp cho SDK XRPL bị xâm phạm
Quỹ XRP Ledger đã vá một lỗ hổng nghiêm trọng trong SDK JavaScript chính thức của mình, có thể cho phép kẻ tấn công đánh cắp khóa riêng và rút tiền từ ví tiền điện tử.
Vào ngày 22 tháng 4, Quỹ XRP Ledger đã phát hành phiên bản cập nhật của gói npm XRP Ledger, loại bỏ mã bị xâm phạm và phục hồi chức năng an toàn cho các nhà phát triển xây dựng trên mạng.
Gói npm xrpl là thư viện JavaScript/TypeScript chính thức để tương tác với XRP Ledger. Các nhà phát triển sử dụng nó để kết nối với mạng, quản lý ví, gửi giao dịch và xây dựng các ứng dụng phi tập trung sử dụng các chức năng của XRPL.
Cập nhật này xuất hiện chỉ vài giờ sau khi công ty bảo mật blockchain Aikido cảnh báo về hoạt động đáng ngờ trong năm phiên bản mới được công bố của thư viện.
Theo báo cáo của Aikido, các tác nhân xấu đã phát hành các phiên bản giả của gói đến npm, bắt đầu từ 4.2.1. Các phiên bản này không khớp với bất kỳ bản phát hành chính thức nào trên GitHub, một dấu hiệu đỏ sớm đã giúp các hệ thống tự động của Aikido phát hiện ra sự bất thường.
Đặc biệt, những kẻ xấu đã "cài đặt một lối vào để đánh cắp khóa riêng của tiền điện tử và chiếm quyền truy cập vào ví tiền điện tử."
Các gói rogue này bao gồm mã ẩn mà lén lút lấy cắp khóa riêng bằng cách ping đến một miền độc hại 0x9c.xyz do chúng kiểm soát. Chức năng độc hại được kích hoạt mỗi khi một ví mới được tạo, hiệu quả là giao quyền kiểm soát quỹ cho kẻ tấn công.
Aikido đã gán nhãn lỗ hổng này là "có thể gây thảm họa", gọi đây là một trong những loại tấn công chuỗi cung ứng tồi tệ nhất trong crypto.
Vì gói xrpl có hơn 140.000 lượt tải hàng tuần và được nhúng trong hàng trăm nghìn trang web và ứng dụng, cửa hậu này có khả năng làm tổn hại một phần lớn của hệ sinh thái XRP gần như một cách im lặng.
Kẻ tấn công cũng được thấy đang tinh chỉnh các gói độc hại với mỗi lần phát hành. Các phiên bản sớm (4.2.1 và 4.2.2) chỉ bao gồm các thay đổi trong các tệp JavaScript được xây dựng, có khả năng để tránh gây nghi ngờ trong các đánh giá mã thông thường. Các phiên bản sau đó, như 4.2.3 và 4.2.4, đã chèn mã độc hại trực tiếp vào các tệp nguồn TypeScript, cho phép tải trọng tồn tại qua các lần biên dịch.
Các nhà nghiên cứu Aikido đã kêu gọi người dùng ngay lập tức ngừng sử dụng các phiên bản bị ảnh hưởng và xoay vòng bất kỳ khóa riêng tư hoặc cụm từ hạt giống nào có thể đã bị lộ. Họ cũng khuyến nghị quét nhật ký mạng để tìm các kết nối đến miền 0x9c.xyz và nâng cấp lên các phiên bản đã được sửa lỗi, 4.2.5 hoặc 2.14.3, để đảm bảo an toàn liên tục.
Trong các bản cập nhật tiếp theo, tổ chức đã xác nhận rằng các gói bị xâm phạm đã được loại bỏ và các dự án quan trọng, chẳng hạn như XRPScan, First Ledger và Gen3 Games, không bị ảnh hưởng.
Sự cố không làm ảnh hưởng đến các nhà giao dịch; XRP đã tăng 7.4% trong 24 giờ qua, giao dịch ở mức $2.24 tại thời điểm viết.
Như đã được báo cáo trước đó bởi crypto.news, XRP Ledger đã gặp phải một sự cố lớn khác vào đầu năm nay khi sự gián đoạn trong việc xác thực giao dịch đã làm ngừng mạng trong gần một giờ vào ngày 5 tháng 2. Tuy nhiên, không có mất mát dữ liệu nào được báo cáo trong sự cố này.