เหตุการณ์ด้านความปลอดภัยที่สำคัญได้ทำให้เกิดปัญหากับคลังรหัสที่ใช้กันอย่างแพร่หลายในระบบนิเวศ Ripple XRP ทำให้กระเป๋าเงินคริปโตหลายพันใบตกอยู่ในความเสี่ยง.ตรวจพบรหัสอันตรายในแพ็กเกจ xrpl.jsการละเมิดส่งผลกระทบต่อ xrpl.js ซึ่งเป็นคลังรหัส JavaScript ที่ Ripple แนะนำสำหรับการโต้ตอบกับ XRP Ledger หลังจากที่แฮ็กเกอร์ได้แทรกโค้ดที่เป็นอันตรายซึ่งออกแบบมาเพื่อลักลอบข้อมูลประจำตัวกระเป๋าเงินส่วนตัว.ช่องโหว่ถูกเปิดเผยเมื่อเย็นวันจันทร์เมื่อทีมนักวิจัยด้านความปลอดภัยที่ Aikido บริษัทด้านความปลอดภัยไซเบอร์ที่มุ่งเน้นด้านคริปโต พบรหัสที่ไม่ได้รับอนุญาตภายในการจัดจำหน่าย Node Package Manager (NPM) อย่างเป็นทางการของ xrpl.js ประตูหลังถูกตรวจพบในหลายเวอร์ชันของคลังรหัสที่เผยแพร่ไปยัง NPM registry ระหว่างเวลา 16:46 น. ถึง 17:49 น. ตามเวลาตะวันออก.ตามข้อมูลของ Charlie Eriksen จาก Aikido ซึ่งได้ระบุถึงการโจมตีนี้ อัปเดตที่เป็นอันตรายทำให้เกิดความเสี่ยงที่อาจเป็นอันตรายต่อห่วงโซ่อุปทานของสกุลเงินดิจิทัล แพ็คเกจที่ถูกโจมตีสามารถขโมย wallet seeds และ private keys ได้ โดยส่งข้อมูลเหล่านั้นไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ซึ่งทำให้ผู้ก่อเหตุสามารถควบคุมกระเป๋าเงินที่ได้รับผลกระทบและขโมยทรัพย์สินได้.ขอบเขตและผลกระทบทันทีแม้ว่าแนวโน้มความเสี่ยงจะคุกคามโครงการจำนวนมากที่พึ่งพา xrpl.js แต่ Eriksen ชี้แจงว่าความเสี่ยงนั้นถูกจำกัดอยู่ที่บริการที่ดาวน์โหลดและรวมเวอร์ชันที่มีปัญหาในช่วงเวลาสั้น ๆ ในวันจันทร์ แอพพลิเคชั่นและบริการที่ไม่ได้อัปเดตการพึ่งพาภายในช่วงเวลานี้รายงานว่าปลอดภัยจากปัญหานี้.น่าสังเกตว่าโครงการ XRP สำคัญๆ รวมถึง Xaman Wallet และ XRPScan ยืนยันว่าพวกเขายังคงปลอดภัย อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยได้กระตุ้นให้ผู้ใช้และนักพัฒนามีความระมัดระวังEriksen แนะนำ,“หากคุณเชื่อว่าคุณอาจมีการโต้ตอบกับโค้ดที่ถูกโจมตี ให้ถือว่าคีย์กระเป๋าของคุณถูกเปิดเผย คีย์ที่ได้รับผลกระทบควรถูกยกเลิก และย้ายสินทรัพย์ไปยังกระเป๋าใหม่ทันที.”Ripple ตอบกลับและ MitiGate.ios ความเสี่ยงวิศวกรที่มูลนิธิ XRP Ledger ได้ดำเนินการอย่างรวดเร็วเพื่อลดผลกระทบจากการละเมิด ปรับปรุงเวอร์ชันที่ปลอดภัยของคลังรหัส xrpl.js ถูกปล่อยออกมาไม่นานหลังจากที่การโจมตีถูกระบุ โดยทำการแทนที่แพ็คเกจที่เป็นอันตรายบน NPM ทีมพัฒนาขอแนะนำให้ผู้ใช้และโครงการทั้งหมดอัปเดตเป็นเวอร์ชันที่ปลอดภัยล่าสุดโดยไม่ชักช้า.XRP Ledger Foundation ยังได้ประกาศว่าจะเผยแพร่รายงานการตรวจสอบอย่างละเอียดเมื่อการตรวจสอบภายในที่ครอบคลุมเสร็จสิ้น ในระหว่างนี้ นักพัฒนาที่พึ่งพา xrpl.js ได้รับคำแนะนำอย่างเข้มงวดให้ตรวจสอบโครงการของตนสำหรับการเปิดเผยต่อเวอร์ชันที่ได้รับผลกระทบ.การนำไปใช้ในวงกว้างเพิ่มความเสี่ยงเนื่องจาก xrpl.js เป็นคลังรหัสอย่างเป็นทางการของ XRP Ledger Foundation สำหรับการโต้ตอบกับบล็อกเชนที่ใช้ JavaScript ซึ่งช่วยให้สามารถดำเนินการต่างๆ เช่น การทำธุรกรรมในกระเป๋าเงินและการโอนโทเค็น ความนิยมของมันทำให้การละเมิดข้อมูลน่าตกใจเป็นพิเศษ คลังรหัสนี้มีการดาวน์โหลดมากกว่า 140,000 ครั้งในสัปดาห์ที่ผ่านมาเพียงอย่างเดียว ซึ่งเน้นย้ำถึงขอบเขตที่อาจเกิดขึ้นของการโจมตีหากมันยังคงไม่ถูกตรวจจับ.เหตุการณ์นี้เน้นให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นจากการโจมตีในห่วงโซ่อุปทานภายในอุตสาหกรรมสกุลเงินดิจิทัล ซึ่งการพึ่งพาแหล่งข้อมูลแบบเปิดที่มีการใช้งานอย่างแพร่หลายสามารถกลายเป็นช่องทางที่นำไปสู่ความเสียหายทางการเงินที่สำคัญได้คำปฏิเสธ: บทความนี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้น ไม่ได้มีการเสนอหรือมีเจตนาที่จะใช้เป็นคำแนะนำทางกฎหมาย ภาษี การลงทุน การเงิน หรือคำแนะนำอื่นๆ
แฮ็กเกอร์เจาะระบบห้องสมุด JavaScript XRPL ของ Ripple ในการโจมตีห่วงโซ่หมุนเวียนครั้งใหญ่
เหตุการณ์ด้านความปลอดภัยที่สำคัญได้ทำให้เกิดปัญหากับคลังรหัสที่ใช้กันอย่างแพร่หลายในระบบนิเวศ Ripple XRP ทำให้กระเป๋าเงินคริปโตหลายพันใบตกอยู่ในความเสี่ยง.
ตรวจพบรหัสอันตรายในแพ็กเกจ xrpl.js
การละเมิดส่งผลกระทบต่อ xrpl.js ซึ่งเป็นคลังรหัส JavaScript ที่ Ripple แนะนำสำหรับการโต้ตอบกับ XRP Ledger หลังจากที่แฮ็กเกอร์ได้แทรกโค้ดที่เป็นอันตรายซึ่งออกแบบมาเพื่อลักลอบข้อมูลประจำตัวกระเป๋าเงินส่วนตัว.
ช่องโหว่ถูกเปิดเผยเมื่อเย็นวันจันทร์เมื่อทีมนักวิจัยด้านความปลอดภัยที่ Aikido บริษัทด้านความปลอดภัยไซเบอร์ที่มุ่งเน้นด้านคริปโต พบรหัสที่ไม่ได้รับอนุญาตภายในการจัดจำหน่าย Node Package Manager (NPM) อย่างเป็นทางการของ xrpl.js ประตูหลังถูกตรวจพบในหลายเวอร์ชันของคลังรหัสที่เผยแพร่ไปยัง NPM registry ระหว่างเวลา 16:46 น. ถึง 17:49 น. ตามเวลาตะวันออก.
ตามข้อมูลของ Charlie Eriksen จาก Aikido ซึ่งได้ระบุถึงการโจมตีนี้ อัปเดตที่เป็นอันตรายทำให้เกิดความเสี่ยงที่อาจเป็นอันตรายต่อห่วงโซ่อุปทานของสกุลเงินดิจิทัล แพ็คเกจที่ถูกโจมตีสามารถขโมย wallet seeds และ private keys ได้ โดยส่งข้อมูลเหล่านั้นไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ซึ่งทำให้ผู้ก่อเหตุสามารถควบคุมกระเป๋าเงินที่ได้รับผลกระทบและขโมยทรัพย์สินได้.
ขอบเขตและผลกระทบทันที
แม้ว่าแนวโน้มความเสี่ยงจะคุกคามโครงการจำนวนมากที่พึ่งพา xrpl.js แต่ Eriksen ชี้แจงว่าความเสี่ยงนั้นถูกจำกัดอยู่ที่บริการที่ดาวน์โหลดและรวมเวอร์ชันที่มีปัญหาในช่วงเวลาสั้น ๆ ในวันจันทร์ แอพพลิเคชั่นและบริการที่ไม่ได้อัปเดตการพึ่งพาภายในช่วงเวลานี้รายงานว่าปลอดภัยจากปัญหานี้.
น่าสังเกตว่าโครงการ XRP สำคัญๆ รวมถึง Xaman Wallet และ XRPScan ยืนยันว่าพวกเขายังคงปลอดภัย อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยได้กระตุ้นให้ผู้ใช้และนักพัฒนามีความระมัดระวัง
Eriksen แนะนำ,
“หากคุณเชื่อว่าคุณอาจมีการโต้ตอบกับโค้ดที่ถูกโจมตี ให้ถือว่าคีย์กระเป๋าของคุณถูกเปิดเผย คีย์ที่ได้รับผลกระทบควรถูกยกเลิก และย้ายสินทรัพย์ไปยังกระเป๋าใหม่ทันที.”
Ripple ตอบกลับและ MitiGate.ios ความเสี่ยง
วิศวกรที่มูลนิธิ XRP Ledger ได้ดำเนินการอย่างรวดเร็วเพื่อลดผลกระทบจากการละเมิด ปรับปรุงเวอร์ชันที่ปลอดภัยของคลังรหัส xrpl.js ถูกปล่อยออกมาไม่นานหลังจากที่การโจมตีถูกระบุ โดยทำการแทนที่แพ็คเกจที่เป็นอันตรายบน NPM ทีมพัฒนาขอแนะนำให้ผู้ใช้และโครงการทั้งหมดอัปเดตเป็นเวอร์ชันที่ปลอดภัยล่าสุดโดยไม่ชักช้า.
XRP Ledger Foundation ยังได้ประกาศว่าจะเผยแพร่รายงานการตรวจสอบอย่างละเอียดเมื่อการตรวจสอบภายในที่ครอบคลุมเสร็จสิ้น ในระหว่างนี้ นักพัฒนาที่พึ่งพา xrpl.js ได้รับคำแนะนำอย่างเข้มงวดให้ตรวจสอบโครงการของตนสำหรับการเปิดเผยต่อเวอร์ชันที่ได้รับผลกระทบ.
การนำไปใช้ในวงกว้างเพิ่มความเสี่ยง
เนื่องจาก xrpl.js เป็นคลังรหัสอย่างเป็นทางการของ XRP Ledger Foundation สำหรับการโต้ตอบกับบล็อกเชนที่ใช้ JavaScript ซึ่งช่วยให้สามารถดำเนินการต่างๆ เช่น การทำธุรกรรมในกระเป๋าเงินและการโอนโทเค็น ความนิยมของมันทำให้การละเมิดข้อมูลน่าตกใจเป็นพิเศษ คลังรหัสนี้มีการดาวน์โหลดมากกว่า 140,000 ครั้งในสัปดาห์ที่ผ่านมาเพียงอย่างเดียว ซึ่งเน้นย้ำถึงขอบเขตที่อาจเกิดขึ้นของการโจมตีหากมันยังคงไม่ถูกตรวจจับ.
เหตุการณ์นี้เน้นให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นจากการโจมตีในห่วงโซ่อุปทานภายในอุตสาหกรรมสกุลเงินดิจิทัล ซึ่งการพึ่งพาแหล่งข้อมูลแบบเปิดที่มีการใช้งานอย่างแพร่หลายสามารถกลายเป็นช่องทางที่นำไปสู่ความเสียหายทางการเงินที่สำคัญได้
คำปฏิเสธ: บทความนี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้น ไม่ได้มีการเสนอหรือมีเจตนาที่จะใช้เป็นคำแนะนำทางกฎหมาย ภาษี การลงทุน การเงิน หรือคำแนะนำอื่นๆ