نقض امنیتی جدی XRP: افشای کلیدهای خصوصی
اخیراً، XRP در یک حمله زنجیره تامین نرمافزار با نقض امنیتی جدی مواجه شده است. این حمله شامل یک کتابخانه جاوا اسکریپت در سیستم XRP Ledger به نام xrpl.js از Ripple بوده که منجر به افشای کلیدهای خصوصی کاربران شده است.
این نقص امنیتی توسط Aikido Security شناسایی و توسط دیوید اسکوارتز، مدیر فنی Ripple تأیید شد. مشکل فقط بر روی نسخههای مشخصی از کتابخانه Node Package Manager (NPM) تأثیر گذاشته است، اما سرویسهای عمده XRP مانند Xaman Wallet و XRPScan اعلام کردند که تحت تأثیر قرار نگرفتهاند.
نسخههای آسیب دیده شامل 4.2.1، 4.2.2، 4.2.3، 4.2.4 و 2.14.2 بودند. این مشکل در نسخههای جدیدتر 4.2.5 و 2.14.3 برطرف شده است.
پیتر تاد، توسعهدهنده بیت کوین، اعلام کرد که یک دهه پس از هشدار او در خصوص خطرات امنیتی نرمافزارهای Ripple به دلیل عدم بکارگیری تدابیر امنیتی مناسب مانند امضای PGP، اکنون یک درب پشتی در Ripple به دلیل نقض امنیتی npm وجود دارد. وی Ripple را به عدم استفاده از روشی امن (امضای PGP) برای تأیید کدهایشان انتقاد کرد که ممکن بود از وقوع این حمله جلوگیری نماید.
تاد همچنین اذعان کرد که کتابخانه پایتون او برای اکثر کاربران به دلیل خروج تدریجی امضای PGP از PyPi امضا نمیشود و صنعت نرمافزار را «ناکارآمد» توصیف کرد و تأکید نمود که کنترل بر آن ندارد.
یک کاربر به نام «mukulljangid» از تاریخ ۲۱ آوریل ۲۰۲5، کدی مخرب به پکیج xrpl.js اضافه کرد و عملکردی جدید جهت سرقت کلیدهای خصوصی و ارسال آنها به دامنهای خارجی ایجاد نمود. این حمله از طریق دسترسی به حساب npm یک کارمند Ripple به وقوع پیوست. علاوه بر این، مهاجم از چندین نسخه به صورت پی در پی در زمان کوتاهی استفاده کرد تا از شناسایی جلوگیری کند، اما هیچ مدرکی از وجود درب پشتی در مخزن GitHub یافت نشد.
بنیاد XRP Ledger توضیحی ارائه داده و تأیید کرد که نسخههای آسیب دیده xrpl.js حذف شدهاند. توصیه شده است که توسعهدهندگان از نسخههای 4.2.5 یا 2.14.3 استفاده نمایند و گزارشی جامع به زودی منتشر خواهد شد.
به طور واضح باید بیان کرد: این آسیبپذیری تنها در کتابخانه جاوا اسکریپت xrpl.js، که برای ارتباط با XRP Ledger استفاده میشود، وجود دارد و تأثیری بر کدبیس XRP Ledger یا مخزن GitHub ندارد. پروژههایی که از xrpl.js بهره میبرند باید بلافاصله به نسخه 4.2.5 ارتقا یابند.
این حادثه نگرانیهایی در خصوص امنیت نرمافزار به ویژه در عرصه رمزارزها بهوجود آورده است؛ جایی که پشتیبانی از مشتریان و مبالغ هنگفت مالی در میان است.