XRP Ledger Foundation 发布针对受损 XRPL SDK 的紧急补丁

XRP账本基金会修复了其官方JavaScript SDK中的一个关键漏洞，该漏洞可能允许攻击者窃取私钥并清空加密货币钱包。

在4月22日，XRP Ledger基金会发布了XRP Ledger npm包的更新版本，移除了被破坏的代码，并为在该网络上开发的开发者恢复了安全功能。

xrpl npm 包是与 XRP Ledger 交互的官方 JavaScript/TypeScript 库。开发者使用它连接到网络，管理钱包，发送交易，并利用 XRPL 功能构建去中心化应用程序。

该更新是在区块链安全公司Aikido在五个新发布的库版本中发现可疑活动后仅几个小时内发布的。

根据Aikido的报告，恶意行为者已向npm发布了该软件包的假版本，从4.2.1开始。这些版本与GitHub上的任何官方发布不匹配，这是一个早期的红旗，帮助Aikido的自动系统检测到这一异常。

值得注意的是，恶意行为者“设置了一个后门，以窃取加密货币私钥并获取对加密货币钱包的访问权限。”

这些恶意软件包包含隐藏代码，通过向他们控制的恶意域名0x9c.xyz发送请求，悄悄窃取私钥。每当创建新钱包时，恶意功能就会被触发，实际上将资金的控制权交给攻击者。

Aikido 将该漏洞标记为“潜在的灾难性”，称其为加密领域最严重的供应链攻击之一。

由于xrpl软件包每周下载超过140,000次，并嵌入在数十万个网站和应用程序中，后门有可能几乎毫无声息地危及XRP生态系统的广泛部分。

攻击者还被看到在每次发布中改进恶意包。早期版本( 4.2.1和4.2.2)仅在构建的JavaScript文件中进行了更改，可能是为了避免在典型的代码审查中引发怀疑。后来版本，如4.2.3和4.2.4，直接将恶意代码注入到TypeScript源文件中，从而允许有效载荷在构建之间持续存在。

Aikido 研究人员敦促用户立即停止使用受影响的版本，并旋转可能已暴露的任何私钥或种子短语。他们还建议扫描网络日志以查找与域名 0x9c.xyz 的连接，并升级到修补版本 4.2.5 或 2.14.3，以确保持续安全。

在后续更新中，基金会确认已删除被泄露的包，并且关键项目，如XRPScan、First Ledger和Gen3 Games，未受到影响。

事件并没有动摇交易者；在过去24小时内，XRP上涨了7.4%，在撰写时交易价格为$2.24。

正如crypto.news之前报道的，XRP Ledger在今年早些时候遭遇了另一起重大事件，2月5日的交易验证中断使网络几乎停顿了一个小时。然而，在事件发生期间没有报告数据丢失。