خبر فوری: پچ امنیتی بنیاد XRP Ledger برای SDK آلوده XRPL
بنیاد XRP Ledger یک بهروزرسانی فوری برای SDK رسمی جاوااسکریپت خود منتشر کرده تا آسیبپذیری بحرانی را که امکان سرقت کلیدهای خصوصی و تخلیه کیف پولهای رمزارز را فراهم میکرد، رفع کند.
در تاریخ ۲۲ آوریل، بنیاد XRP Ledger نسخه جدید پکیج npm مربوط به XRP Ledger را منتشر کرد؛ با حذف کد آلوده، عملکرد ایمن برای توسعهدهندگانی که بر روی شبکه کار میکنند، بازیابی شد. پکیج xrpl، کتابخانه رسمی جاوااسکریپت/TypeScript برای ارتباط با XRP Ledger است. توسعهدهندگان از آن برای اتصال به شبکه، مدیریت کیف پولها، ارسال تراکنشها و ساخت برنامههای غیرمتمرکز بهره میبرند.
این بهروزرسانی تنها چند ساعت پس از اطلاع شرکت امنیت بلاکچین Aikido از فعالیتهای مشکوک در پنج نسخه تازه منتشر شده کتابخانه انجام شد. به گزارش Aikido، عوامل خرابکار نسخههای جعلی پکیج را در npm منتشر کردند که از نسخه 4.2.1 آغاز میشد. این نسخهها با نسخههای رسمی در GitHub مطابقت نداشتند و سیستمهای خودکار Aikido این ناسازگاری را به سرعت شناسایی نمودند.
بهطور قابل توجه، عوامل خرابکار در پکیجهای جعلی «درپشتی» قرار دادند تا کلیدهای خصوصی رمزارز را سرقت کرده و به کیف پولهای رمزارز دسترسی پیدا کنند. این پکیجها شامل کدی پنهان بودند که به آرامی کلیدهای خصوصی را با برقراری ارتباط به دامنه مخرب 0x9c.xyz سرقت میکرد؛ دامنهای که تحت کنترل مهاجم بود. عملکرد مخرب در ایجاد هر کیف پول جدید فعال شده و کنترل داراییها را به دست مهاجم میسپرد.
محققان Aikido آسیبپذیری را «احتمالاً فاجعهبار» توصیف کردند و آن را یکی از بدترین حملات زنجیره تأمین در حوزه رمزارز دانستند. از آنجا که پکیج xrpl بیش از ۱۴۰ هزار دانلود هفتگی داشته و در صدها هزار وبسایت و اپلیکیشن به کار میرود، این درپشتی توانایی به خطر انداختن بخش عظیمی از اکوسیستم XRP را به صورت تقریباً ناپیدا داشت.
همچنین مشاهده شد که مهاجم با هر انتشار، پکیجهای مخرب را اصلاح میکرد. نسخههای اولیه (4.2.1 و 4.2.2) تغییراتی تنها در فایلهای ساخته شده جاوااسکریپت داشتند تا از جلب توجه در بازبینیهای کد اجتناب کنند؛ اما نسخههای بعدی مانند 4.2.3 و 4.2.4 کد مخرب را مستقیماً به فایلهای منبع TypeScript تزریق کردند تا اثرگذاری آن در تمام ساختها باقی بماند.
محققان Aikido به کاربران توصیه کردند فوراً از استفاده نسخههای آسیبپذیر خودداری کرده و کلیدهای خصوصی یا عبارات بازیابی که احتمال افشا شدهاند را تغییر دهند. همچنین توصیه شد لاگهای شبکه جهت هرگونه ارتباط با دامنه 0x9c.xyz بررسی و به نسخههای پچ شده 4.2.5 یا 2.14.3 بهروزرسانی شوند تا امنیت تامین گردد.
در بهروزرسانیهای بعدی، بنیاد اعلام کرد که پکیجهای آلوده حذف شده و پروژههای کلیدی مانند XRPScan، First Ledger و Gen3 Games تحت تأثیر قرار نگرفتهاند. این حادثه باعث نگرانی در میان معاملهگران نشد؛ ارز XRP طی ۲۴ ساعت گذشته با افزایشی معادل ۷.4٪ معامله شد و در زمان نگارش با قیمت 2.24 دلار بوده است.
همانطور که قبلاً در crypto.news گزارش شده بود، XRP Ledger در اوایل سال جاری با حادثهای مواجه شد که اختلال در اعتبارسنجی تراکنشها سبب توقف شبکه به مدت تقریباً یک ساعت شد، اما از دست رفتن دادهای گزارش نشد.