數以千計加密貨幣錢包於星期一陷入危險,因黑客入侵 Ripple 官方 XRP Ledger JavaScript 程式庫,植入專為竊取私鑰與錢包憑證而設的惡意程式碼。
你需要知道的
- 資安研究人員於美東時間星期一下午 4:46 至 5:49 之間,於 xrpl.js 程式庫偵測到未經授權的程式碼
- 惡意程式碼可將錢包種子及私鑰傳送至黑客控制的伺服器
- 多個主要 XRP 專案確認平台仍安全,但下載受影響版本的用戶建議立即轉移資產
資安漏洞詳情
此安全漏洞由專注加密貨幣領域的資安公司 Aikido 發現,其研究員在 Node Package Manager 的官方 xrpl.js 發佈版本內辨識到可疑程式碼。
多個於這一小時內上載至 NPM 的程式庫版本包含可危害用戶錢包的後門功能。
負責發現此漏洞的資安研究員 Charlie Eriksen 形容,今次事件對加密貨幣供應鏈構成災難性風險。受污染的套件能竊取敏感錢包資料,並直接傳送至黑客控制的伺服器。這代表惡意攻擊者可在未經授權下完全掌控受影響錢包,甚至清空其資產。
Eriksen 於安全公告中警告:「如果你懷疑曾經接觸受污染程式碼,請假定你的錢包私鑰已經外洩。受影響私鑰必須停用,並立刻將資產轉移至新錢包。」
根據資安專家說法,漏洞範圍僅限於在該短暫時段內下載及整合受污染版本的服務。於此期間沒有更新依賴程式庫的應用程式及專案應該未受影響。
多個知名 XRP 生態圈專案,包括 Xaman Wallet 和 XRPScan,均已發表聲明確認平台安全。然而,加密貨幣資安從業者仍呼籲所有用戶和開發者加倍小心。
應對與緩解措施
XRP Ledger Foundation 團隊於發現漏洞後迅速行動,並於短時間內發佈安全更新版本的 xrpl.js 程式庫,將 NPM 內的有害套件覆蓋。開發團隊強烈建議所有用戶及專案盡快更新至最新安全版本,以防被利用。
XRP Ledger Foundation 在官方聲明中承諾,待內部資安檢討完成後,將發布詳細事件剖析報告。
報告預計會披露更多有關攻擊手法及預防未來同類事件的方法。
其間,有依賴 xrpl.js 的開發者強烈被建議檢查及審計自家程式碼,以防不慎引用受影響版本。這些建議之急切,正反映事故的嚴重性。
今次漏洞格外受關注,因 xrpl.js 於 Ripple 生態圈被廣泛使用。作為 XRP Ledger 官方 JavaScript 區塊鏈操作程式庫,該套件負責錢包操作、代幣傳送等多項核心功能。
於攻擊發生前一週,該程式庫下載量已超過 14 萬次。專家指若非能迅速發現問題,惡意程式碼將對行業造成更嚴重影響。
這宗事故亦突顯越來越多針對加密產業的供應鏈攻擊。此類事件利用業界對開源套件的廣泛依賴,一旦被植入惡意程式碼,能造成重大的財務損失。
總結
xrpl.js 函式庫供應鏈被入侵後迅速被發現及應對,成功阻止了 XPR 生態圈的重大經濟損失。事件反映加密貨幣基建本身的安全風險,並提醒開發者時刻關注開源依賴的變動。