黑客在重大供應鏈攻擊中破壞了瑞波幣的XRPL JavaScript庫

一個關鍵的安全事件已經影響到瑞波幣XRP生態系統中一個廣泛使用的軟體庫，使成千上萬的加密錢包面臨風險。

在xrpl.js軟體庫中檢測到惡意代碼

此次漏洞影響了xrpl.js，這是瑞波幣推薦的用於與XRP Ledger交互的JavaScript軟體庫，黑客在其中插入了旨在竊取私人錢包憑證的惡意代碼。

這個漏洞在周一晚上被曝光，當時一家專注於加密的網絡安全公司Aikido的安全研究人員發現了官方Node Package Manager (NPM)發行版中的未經授權代碼。在東部時間下午4:46到5:49之間發布到NPM註冊表的多個版本中檢測到了這個後門。

根據Aikido的Charlie Eriksen的說法，他發現了這個漏洞，這個惡意更新對加密貨幣供應鏈構成了潛在的災難性風險。受損的包能夠竊取錢包種子和私鑰，並將其傳輸到攻擊者控制的服務器。這使得威脅行爲者能夠控制受影響的錢包並掏空其資產。

範圍和直接影響

雖然這個漏洞威脅到了大量依賴於xrpl.js的項目，但Eriksen澄清說，這個威脅僅限於在周一的短暫時間內下載並集成了受污染版本的服務。沒有在此期間更新其依賴項的應用程序和服務據報道未受影響。

值得注意的是，包括 Xaman Wallet 和 XRPScan 在內的主要 XRP 項目確認它們仍然安全。然而，安全專家敦促用戶和開發者保持謹慎。

埃裏克森建議，

“如果您認爲您可能與受損代碼進行了交互，請假設您的錢包密鑰已被暴露。受影響的密鑰應立即退役，並將資產轉移到新錢包中。”

瑞波幣回應並降低Gate.io的風險

XRP Ledger基金會的工程師迅速採取行動來緩解這次 breach。攻擊被識別後，更新的安全版本的xrpl.js 軟體庫很快發布，覆蓋了NPM上的惡意包。開發團隊建議所有用戶和項目毫不延遲地更新到最新的安全版本。

XRP帳本基金會還表示，一旦完成全面的內部審查，將發布詳細的事後分析。在此期間，依賴xrpl.js的開發者被強烈建議對他們的項目進行審計，以檢查是否受到受影響版本的影響。

廣泛採用加大風險

考慮到 xrpl.js 是 XRP Ledger Foundation 官方的 JavaScript 區塊鏈交互庫，支持錢包操作和代幣轉移等任務，其受歡迎程度使得此次泄露尤爲令人震驚。該庫在過去一周內的下載量超過了 140,000 次，突顯了如果此次攻擊未被發現，其潛在影響可能會有多大。

這一事件突顯了加密貨幣行業內供應鏈攻擊日益增長的風險，在該行業中，被廣泛使用的開源依賴項可能成爲造成重大財務損失的媒介。

免責聲明：本文僅供參考。它並非提供或意圖作爲法律、稅務、投資、財務或其他建議。