XRP Ledger Foundation 發布針對受損 XRPL SDK 的緊急補丁

XRP帳本基金會修復了其官方JavaScript SDK中的一個關鍵漏洞，該漏洞可能允許攻擊者竊取私鑰並清空加密貨幣錢包。

在4月22日，XRP Ledger基金會發布了XRP Ledger npm包的更新版本，移除了被破壞的代碼，並爲在該網絡上開發的開發者恢復了安全功能。

xrpl npm 包是與 XRP Ledger 交互的官方 JavaScript/TypeScript 庫。開發者使用它連接到網絡，管理錢包，發送交易，並利用 XRPL 功能構建去中心化應用程式。

該更新是在區塊鏈安全公司Aikido在五個新發布的庫版本中發現可疑活動後僅幾個小時內發布的。

根據Aikido的報告，惡意行爲者已向npm發布了該軟件包的假版本，從4.2.1開始。這些版本與GitHub上的任何官方發布不匹配，這是一個早期的紅旗，幫助Aikido的自動系統檢測到這一異常。

值得注意的是，惡意行爲者“設置了一個後門，以竊取加密貨幣私鑰並獲取對加密貨幣錢包的訪問權限。”

這些惡意軟件包包含隱藏代碼，通過向他們控制的惡意域名0x9c.xyz發送請求，悄悄竊取私鑰。每當創建新錢包時，惡意功能就會被觸發，實際上將資金的控制權交給攻擊者。

Aikido 將該漏洞標記爲“潛在的災難性”，稱其爲加密領域最嚴重的供應鏈攻擊之一。

由於xrpl軟件包每周下載超過140,000次，並嵌入在數十萬個網站和應用程序中，後門有可能幾乎毫無聲息地危及XRP生態系統的廣泛部分。

攻擊者還被看到在每次發布中改進惡意包。早期版本( 4.2.1和4.2.2)僅在構建的JavaScript文件中進行了更改，可能是爲了避免在典型的代碼審查中引發懷疑。後來版本，如4.2.3和4.2.4，直接將惡意代碼注入到TypeScript源文件中，從而允許有效載荷在構建之間持續存在。

Aikido 研究人員敦促用戶立即停止使用受影響的版本，並旋轉可能已暴露的任何私鑰或種子短語。他們還建議掃描網絡日志以查找與域名 0x9c.xyz 的連接，並升級到修補版本 4.2.5 或 2.14.3，以確保持續安全。

在後續更新中，基金會確認已刪除被泄露的包，並且關鍵項目，如XRPScan、First Ledger和Gen3 Games，未受到影響。

事件並沒有動搖交易者；在過去24小時內，XRP上漲了7.4%，在撰寫時交易價格爲$2.24。

正如crypto.news之前報道的，XRP Ledger在今年早些時候遭遇了另一起重大事件，2月5日的交易驗證中斷使網絡幾乎停頓了一個小時。然而，在事件發生期間沒有報告數據丟失。