Серьезная уязвимость программного обеспечения была обнаружена в недавнем обновлении библиотеки разработки JavaScript XRP Ledger, вызвавшей тревогу в сообществе разработчиков криптовалют.
Фонд XRP Ledger раскрыл, что уязвимость была найдена в нескольких версиях пакета JavaScript xrpl, широко используемого набора инструментов для взаимодействия с XRP Ledger.
Согласно этой организации, уязвимость безопасности была обнаружена Чарли Эриксеном, исследователем вредоносного ПО в Aikido Security, который описал эту проблему как "потенциально разрушительную" атаку на цепочку поставок.
Эриксен предупреждает: "Этот уязвимость безопасности может позволить злоумышленникам украсть приватные ключи пользователей и получить несанкционированный доступ к кошелькам", но пока неясно, были ли затронуты какие-либо пользователи напрямую.
Затронутые версии включают v4.2.1 до v4.2.4 и v2.14.2. Команда технических специалистов XRP Ledger выпустила v4.2.5, деактивировав скомпрометированные пакеты. Пользователям и разработчикам, использующим затронутые версии, рекомендуется немедленно обновиться.
Фонд выступил с следующим заявлением в социальных сетях:
"Чтобы прояснить: Эта уязвимость находится в xrpl.js, библиотеке JavaScript для взаимодействия с XRP Ledger. Она не затрагивает базу данных кода XRP Ledger или репозиторий GitHub."
Вредоносное ПО, похоже, было внедрено через Node Package Manager (NPM), платформу, широко используемую для обмена пакетами JavaScript. Проекты, такие как Xaman Wallet и XRPScan, подтвердили, что их услуги, вероятно, не пострадают, так как они не используют скомпрометированные версии.
Фонд XRP Ledger объявил, что полный отчет о происшествии будет опубликован, как только появится дополнительная информация о том, как использовалась задняя дверь.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Фонд XRP выпустил заявление о уязвимости, которая может привести к кражам активов пользователей.
Серьезная уязвимость программного обеспечения была обнаружена в недавнем обновлении библиотеки разработки JavaScript XRP Ledger, вызвавшей тревогу в сообществе разработчиков криптовалют. Фонд XRP Ledger раскрыл, что уязвимость была найдена в нескольких версиях пакета JavaScript xrpl, широко используемого набора инструментов для взаимодействия с XRP Ledger. Согласно этой организации, уязвимость безопасности была обнаружена Чарли Эриксеном, исследователем вредоносного ПО в Aikido Security, который описал эту проблему как "потенциально разрушительную" атаку на цепочку поставок. Эриксен предупреждает: "Этот уязвимость безопасности может позволить злоумышленникам украсть приватные ключи пользователей и получить несанкционированный доступ к кошелькам", но пока неясно, были ли затронуты какие-либо пользователи напрямую. Затронутые версии включают v4.2.1 до v4.2.4 и v2.14.2. Команда технических специалистов XRP Ledger выпустила v4.2.5, деактивировав скомпрометированные пакеты. Пользователям и разработчикам, использующим затронутые версии, рекомендуется немедленно обновиться. Фонд выступил с следующим заявлением в социальных сетях: "Чтобы прояснить: Эта уязвимость находится в xrpl.js, библиотеке JavaScript для взаимодействия с XRP Ledger. Она не затрагивает базу данных кода XRP Ledger или репозиторий GitHub." Вредоносное ПО, похоже, было внедрено через Node Package Manager (NPM), платформу, широко используемую для обмена пакетами JavaScript. Проекты, такие как Xaman Wallet и XRPScan, подтвердили, что их услуги, вероятно, не пострадают, так как они не используют скомпрометированные версии. Фонд XRP Ledger объявил, что полный отчет о происшествии будет опубликован, как только появится дополнительная информация о том, как использовалась задняя дверь.