当一个黑客攻击 Ripple 的官方 XRP Ledger JavaScript 库,插入窃取私钥和钱包凭证的代码时, 数千个加密货币钱包于周一面临风险。
需要了解的内容:
- 安全研究人员在周一东方时间4:46PM到5:49PM 之间检测到 xrpl.js 库中的未经授权的代码
- 恶意代码可以将钱包种子和私钥传输到攻击者 控制的服务器
- 主要 XRP 项目确认它们仍然安全,但下载了 受影响版本的用户被敦促立即转移资产
安全漏洞详情
Aikido, 一家专注于加密货币的网络安全公司,发现了该漏洞, 研究人员在 xrpl.js 官方 Node Package Manager 发行版 中识别出了可疑代码。
在一小时窗口期内发布至 NPM 注册表的该库的多个版本 包含了可能危害用户钱包的后门功能。
发现漏洞的安全研究员 Charlie Eriksen 将该事件 描述为对加密货币供应链的潜在灾难性风险。 被攻破的包可以窃取敏感的 钱包凭证,直接传输到攻击者控制的服务器。 这种访问将使威胁参与者能够接管受影响的钱包, 并可能在未经授权的情况下耗尽其数字资产。
“如果你认为你可能与受损代码互动过,请假定你的 钱包密钥已暴露,”Eriksen 在安全公告中建议道。 “受影响的密钥应予以废弃,并将资产立即转移到新钱包。”
漏洞的范围似乎仅限于在周一短暂暴露窗口期内 下载和整合了受污染版本的服务。 据了解事件的安全专家称,在此期间未更新其依赖项的 应用程序和项目可能不受此漏洞的影响。
包括 Xaman Wallet 和 XRPScan 在内的数个知名 XRP 生态系统项目已发表声明,确认他们的平台 仍然安全。不过,加密货币行业的安全专业人士 敦促用户和开发者都要高度警惕。
响应和缓解措施
一旦确定了漏洞,XRP Ledger Foundation 的工程师 迅速作出反应。在发现后不久即发布了更新的、 安全版本的 xrpl.js 库,并有效覆盖了之前在 NPM 可用的恶意包。开发团队建议,所有用户 和项目应毫不延迟地更新到最新的安全版本, 以防止潜在的攻击。
在官方声明中,XRP Ledger Foundation 承诺 在完成其内部安全审查后公布全面的事件后分析。 此分析可能会提供关于攻击途径更多详细信息,以及 如何防止未来的事件。
在此期间,依赖于 xrpl.js 开发其项目的开发者 被强烈建议对其代码库进行彻底审核,以识别任何 可能暴露于受影响库版本的风险。这些建议的 紧迫性反映出漏洞的严重性。
由于 xrpl.js 在 Ripple 生态系统中的广泛采用, 这一漏洞具有更高的意义。作为 XRP Ledger Foundation 官方的 JavaScript 区块链交互库, 该软件包支持重要功能,包括钱包操作和跨 多个应用程序和服务的代币转移。
在攻击发生前一周,报告的下载量超过14万, 该库的普及强调了此漏洞若未及时检测 可能造成的广泛影响。安全分析师指出, 快速识别限制了本来可能成为更具破坏性事件的扩散。
此次安全漏洞代表了一种针对加密货币行业 供应链攻击模式的又一例证。 这种事件利用了行业对广泛使用的开源依赖项的 严重依赖,这些依赖项在遭到破坏时可能 成为造成重大经济损失的媒介。
最后想法
对 xrpl.js 库攻陷事件的快速检测和响应 可能避免了 XRP 生态系统中的广泛经济损失。 该事件作为对加密货币基础设施固有安全 脆弱性的严酷提醒,同时强调了对开源依赖项进行 严密监控的重要性。