XRP Ledger Kompromitteret? Validator Advarer Projekter Og Udviklere Om Kritiske Problemer

En XRP Ledger (XRPL) validator har advaret projekter og udviklere om, at netværket er blevet kompromitteret. Han afslørede nogle kritiske problemer i netværket, som sætter brugerne og deres midler i fare for et angreb.
Validator Advarer Om at XRP Ledger Er Kompromitteret
I et opslag omtalte XRP Ledger-validator Vet netværkets udviklere og projekter, der bruger XRPL js-biblioteket, om ikke at opdatere eller anvende version 4.2.1 eller nyere, da den er blevet kompromitteret. Han påpegede, at ethvert projekt, der anvender den nyeste version af XRPL, udsætter brugerne og midlerne for risiko for et angreb fra hackere.
Vets advarsel var som svar på et opslag fra Aikido Security, hvor de meddelte, at de havde opdaget en bagdør i den officielle XRP Ledger NPM-pakke. Blockchain-sikkerhedsfirmaet tilføjede, at denne bagdør stjæler private nøgler og sender dem til angribere. De påvirkede versioner er 4.2.1 og 4.2.4, så udviklere og projekter bør ikke opgradere til disse versioner.
Ripple Chief Technology Officer (CTO) David Schwartz kommenterede også situationen med Ledger og bemærkede, at det kun var XRPL.js fra NPM, der var kompromitteret. Han henviste også til et opslag fra Ripple senior softwareingeniør Mayukha Vadari. Vadari nævnte, at Ledgeret selv ikke er påvirket af malwaren.
Softwareingeniøren bekræftede, at malwarepakkerne kun påvirkede tjenester, der bruger xrpl.js og var opgraderet til de skadelige versioner, der blev offentliggjort for omkring en dag siden. Han tilføjede, at GitHub forbliver sikkert, da kun npm er blevet kompromitteret. Vadari opfordrede brugere til at undgå tjenester, der har adgang til deres private nøgler og seed-phrases, indtil de har bekræftet, at disse tjenester ikke er påvirket af denne malware.
XRPL Foundation Giver Opdatering
XRP Ledger Foundation gav også en opdatering om malware-situationen. I et opslag præciserede Foundation, at sårbarheden er i xrpl.js, et JavaScript-bibliotek til interaktion med XRPL. De tilføjede yderligere, at sårbarheden ikke påvirker netværkets kodebase eller selve GitHub-repositoriet. Samtidig opfordrede Foundation projekter, der bruger xrpl.js, til at opgradere til v4.2.5 øjeblikkeligt.
XRP Ledger Foundation bekræftede også i tråden, at de havde afskaffet de kompromitterede xrpl.js-versioner på npm. De nævnte, at de snart vil dele en detaljeret post-mortem og igen opfordrede projekter og udviklere til at sikre, at de bruger versioner 4.2.5 eller 2.14.3.
I endnu et opslag annoncerede Foundation, at de havde udgivet en opdateret npm-pakke til brugere af 2.14.x-grenen for at fjerne den tidligere kompromitterede version. De bad disse XRP Ledger-brugere om straks at opdatere til version 2.14.3 for at forhindre et angreb.