黑客在重大供应链攻击中破坏了瑞波币的XRPL JavaScript库

一个关键的安全事件已经影响到瑞波币XRP生态系统中一个广泛使用的软件库，使成千上万的加密钱包面临风险。

在xrpl.js软件库中检测到恶意代码

此次漏洞影响了xrpl.js，这是瑞波币推荐的用于与XRP Ledger交互的JavaScript软件库，黑客在其中插入了旨在窃取私人钱包凭证的恶意代码。

这个漏洞在周一晚上被曝光，当时一家专注于加密的网络安全公司Aikido的安全研究人员发现了官方Node Package Manager (NPM)发行版中的未经授权代码。在东部时间下午4:46到5:49之间发布到NPM注册表的多个版本中检测到了这个后门。

根据Aikido的Charlie Eriksen的说法，他发现了这个漏洞，这个恶意更新对加密货币供应链构成了潜在的灾难性风险。受损的包能够窃取钱包种子和私钥，并将其传输到攻击者控制的服务器。这使得威胁行为者能够控制受影响的钱包并掏空其资产。

范围和直接影响

虽然这个漏洞威胁到了大量依赖于xrpl.js的项目，但Eriksen澄清说，这个威胁仅限于在周一的短暂时间内下载并集成了受污染版本的服务。没有在此期间更新其依赖项的应用程序和服务据报道未受影响。

值得注意的是，包括 Xaman Wallet 和 XRPScan 在内的主要 XRP 项目确认它们仍然安全。然而，安全专家敦促用户和开发者保持谨慎。

埃里克森建议，

“如果您认为您可能与受损代码进行了交互，请假设您的钱包密钥已被暴露。受影响的密钥应立即退役，并将资产转移到新钱包中。”

瑞波币回应并降低Gate.io的风险

XRP Ledger基金会的工程师迅速采取行动来缓解这次 breach。攻击被识别后，更新的安全版本的xrpl.js 软件库很快发布，覆盖了NPM上的恶意包。开发团队建议所有用户和项目毫不延迟地更新到最新的安全版本。

XRP账本基金会还表示，一旦完成全面的内部审查，将发布详细的事后分析。在此期间，依赖xrpl.js的开发者被强烈建议对他们的项目进行审计，以检查是否受到受影响版本的影响。

广泛采用加大风险

考虑到 xrpl.js 是 XRP Ledger Foundation 官方的 JavaScript 区块链交互库，支持钱包操作和代币转移等任务，其受欢迎程度使得此次泄露尤为令人震惊。该库在过去一周内的下载量超过了 140,000 次，突显了如果此次攻击未被发现，其潜在影响可能会有多大。

这一事件突显了加密货币行业内供应链攻击日益增长的风险，在该行业中，被广泛使用的开源依赖项可能成为造成重大财务损失的媒介。

免责声明：本文仅供参考。它并非提供或意图作为法律、税务、投资、财务或其他建议。