حذرت مؤسسة XRP Ledger Foundation من ثغرة أمنية في JavaScript SDK الرسمية ، والتي تتفاعل مع XRPL.
في 21 أبريل ، كشفت Aikido Security أن عدة إصدارات من برامج Manager Manager (NPM) الخاصة بها قد تعرضت للخطر ونشرها ، والتي تحتوي على الباب الخلفي الذي يمكن أن يسرق المفاتيح الخاصة من المستخدمين.
عيب الأمن في طقم المطورين
أكدت مؤسسة XRP Ledger Poundation المشكلة في بيان 22 أبريل:
“في وقت سابق اليوم ، حدد باحث أمني من AikidoSecurity ضعفًا خطيرًا في حزمة XRPL NPM (v4.2.1-4.2.4 و V2.14.2).”
استجابةً للخرق ، طمأن Wietse Wind ، المؤسس والرئيس التنفيذي لشركة XRPL Labs ، المستخدمين بأن محفظة Xaman لم تتأثر بالعيب. أوضحت Wind أن المنتج لا يستخدم XRPL.JS ولكنه يعتمد بدلاً من ذلك على مكتبات XRPL-CLIENT و XRPL ACCOUNTLIB ، والتي تفصل اتصال محفظة عن عملية التوقيع.
قام أيضًا بالتفصيل كيف تكشف الحادث ، قائلاً إن الكود الضار في حزمة XRPL.JS المرسلة تم إنشاء مفاتيح خاصة تم إنشاؤها أو المستوردة إلى خادم خارجي يتحكم فيه المهاجم. وقد مكن هذا المتسللين من جمع أزواج رئيسية ، وانتظار تمويل المحافظ ، ثم سرقة الأصول.
حثت Wind أي شخص قام مؤخرًا بإنشاء محفظة XRP باستخدام واجهة برمجة التطبيقات أو الأدوات ذات الصلة لافتراض أنها تعرضت للخطر ونقل أموالهم على الفور.
وأكد أن مثل هذه الهجمات يمكن أن تحدث لأي برنامج يعتمد على مكتبات الطرف الثالث ، وأن المطورين يجب أن يتخذوا الاحتياطات. كما نصح بالحد من الوصول إلى النشر ، ومسح رمز قبل الإصدار ، وتجنب خطوط أنابيب النشر التلقائي ، وعدم إدارة المفاتيح الخاصة مباشرة ما لم يتم إعدادها تمامًا للتعامل مع المخاطر المرتبطة بها.
مشكلات XRPL تصحيح عاجل
بعد الحادث ، أصدرت مؤسسة XRP Ledger Foundation نسخة نظيفة من حزمة NPM ، مما أدى إلى إزالة الكود الضار وضمان استخدام SDK للمطورين مرة أخرى.
اكتشف Aikido Security الضعف بعد أن وضع نظام مراقبة التهديد الآلي تحديثات مشبوهة إلى حزمة XRPL على NPM. تضمنت هذه التحديثات ، التي نشرها مستخدم يدعى “Mukulljangid” ، خمسة إصدارات جديدة لا تتطابق مع أي إصدارات رسمية على مستودع GitHub's XRP Ledger.
بعد التحقيق ، وجدت Aikido أن الإصدارات التي تم اختراقها تحتوي على وظيفة ضارة تسمى CheckValidityOfSeed ، والتي أرسلت مفاتيح خاصة إلى خادم المتسلل على 0x9c (.) xyz ، عندما أنشأ المستخدمون محفظة يمكن أن تسمح لهم بسرقة تشفيرهم.
اختبأت الإصدارات المبكرة (v4.2.1 و v4.2.2) الورقة الخلفية في ملفات JavaScript المترجمة ، بينما تضمنت الإصدارات اللاحقة (v4.2.3 و v4.2.4) الكود الضار مباشرة في ملفات مصدر TypeScript ، مما يجعل من الصعب اكتشافها. كما أزلت الحزم المعرضة للخطر أدوات التطوير مثل أجمل وإنشاء البرامج النصية من ملف package.json ، مما يدل على التلاعب المتعمد.
يأتي الحادث بعد أسابيع فقط من إعلان Ripple عن الحصول على 1.25 مليار دولار لشركة Hidden Road Prime Hidden Road ، وهو ما يعتقد خبراء في التحرك سيحول XRPL إلى قناة رئيسية للأموال المؤسسية.
وفقًا لرئيس مجلس إدارة شركة Ripple Brad Garlinghouse ، سيتم استخدام الشبكة لتسويات ما بعد التجارة في بعض المعاملات ، مما يحولها إلى منصة مقاصة وائتمانية على نطاق الشركات.
Binance Free $ 600 (Cryptopotato Exclusive): استخدم هذا الرابط لتسجيل حساب جديد واحصل على عرض ترحيب حصري بقيمة 600 دولار على Binance (التفاصيل الكاملة).
عرض محدود لقراء Cryptopotato في Bybit: استخدم هذا الرابط لتسجيل وفتح موقعًا مجانيًا بقيمة 500 دولار على أي عملة معدنية!
(tagstotranslate) محافظ التشفير (T) القرصنة (T) XRP
