رفع نقص بحرانی xrpl.js؛ هشدار ارتقاء فوری XRP Ledger

رفع نقص بحرانی در xrpl.js؛ تهدید بالقوه برای شبکه XRP Ledger

یک عامل تهدیدگر ظاهراً از توکن دسترسی توسعه‌دهنده XRP Ledger سوءاستفاده کرد تا کد مخرب را بر روی شبکه در حال رشد منتشر کند؛ اقدامی که می‌توانست برای شبکه عواقب فاجعه‌باری به همراه داشته باشد، به گزارش تیم امنیتی که این مشکل را شناسایی کرده است.

چارلی اریکسن، پژوهشگر شرکت Aikido Security که نخستین بار مشکل را کشف کرد، اعلام کرد که یک نقص پنهان در نسخه‌های اخیر یک ابزار نوین جهت ساخت برنامه‌های متصل به XRP Ledger اضافه شده است. به گفته Aikido: "توکن دسترسی NPM یک توسعه‌دهنده توسط عامل‌های تهدید سرقت شده است." او اضافه کرد که در حال حاضر مشخص نیست چگونه این اتفاق افتاده و هویت عوامل تهدید نیز هنوز مشخص نشده است (اگرچه شکی وجود دارد که در حال تایید آن هستیم).

این مشکل تنها نسخه‌های Node Package Manager (NPM) را تحت تأثیر قرار می‌دهد؛ سایتی که توسعه‌دهندگان در آن کدهای قابل استفاده مجدد برای پروژه‌ها را به اشتراک می‌گذارند. سرویس‌های اصلی مرتبط با XRP مانند Xaman Wallet و XRPScan در پست‌های جداگانه در X اعلام کردند که تحت تأثیر این نقص قرار نگرفته‌اند.

با بروز این آسیب‌پذیری در npm، این رویداد یادآوری بر لزوم دقت در استفاده از ابزارهای مورد اعتماد است. در Xaman، سابقه کار شفاف ما گواه اعتمادسازی است؛ از همان ابتدا امنیت و کامل بودن کارها اولویت ما بوده است. هیچ میان‌بری انجام ندادیم. این همان تصویری از اعتماد است. https://t.co/LH1nEFrlPH

این نقص می‌تواند به مهاجمان اجازه دهد تا کلیدهای خصوصی کاربران را سرقت کنند و به صورت نظری به کیف پول‌های رمز ارز دسترسی پیدا کنند.

در 21 آوریل ساعت 20:53 به وقت گرینویچ، سیستم Aikido Intel ما شروع به ارسال هشدار برای پنج نسخه جدید از بسته xrpl کرد. این بسته که به عنوان SDK رسمی برای XRP Ledger شناخته می‌شود، بیش از ۱۴۰٬۰۰۰ دانلود هفتگی داشته و توسط صدها هزار برنامه و وب‌سایت استفاده می‌شود؛ وضعیتی که آن را به یک حمله زنجیره تأمینی فاجعه‌آمیز در اکوسیستم رمز ارز تبدیل می‌کند.

ارائه‌کنندگان سرویس هشدار دادند که تنها اپلیکیشن‌ها یا سرویس‌های شخص ثالثی که در دوره کوتاهی نسخه‌های دارای نقص را نصب کرده‌اند، در معرض خطر قرار دارند. به همین دلیل تیم بنیاد XRP Ledger به سرعت مشکل را برطرف کرده و نسخه‌های به‌روزشده ابزار را جایگزین نسخه‌های مشکل‌دار کرد، به‌طوری که نسخه‌های آسیب‌دیده (v4.2.1 تا v4.2.4 و v2.14.2) منسوخ شدند.

برای شفاف‌سازی: این آسیب‌پذیری در xrpl.js، یک کتابخانه جاوا اسکریپت برای تعامل با XRP Ledger، وجود دارد و بر روی کدبیس یا مخزن گیت‌هاب XRP Ledger تأثیری ندارد. پروژه‌هایی که از xrpl.js استفاده می‌کنند، باید فوراً به نسخه v4.2.5 ارتقاء یابند.

به طور خلاصه، کتابخانه جاوا اسکریپت مجموعه‌ای از کدهای پیش‌نویس است که کارهای توسعه وب را ساده می‌کند و مخزن گیت‌هاب فضایی آنلاین برای ذخیره کد، فایل‌ها و تاریخچه پروژه‌ها به حساب می‌آید.

قیمت XRP در 24 ساعت گذشته 8.5 درصد افزایش یافته و همراه با جهش کلی بازار، توجه بسیاری را جلب کرده است.

شاوریا، هم‌رهبر تیم توکن‌ها و داده‌های CoinDesk در آسیا، که تمرکز او بر مشتقات رمز ارز، دیفای، میکروساختار بازار و تحلیل پروتکل است، اعلام کرد که او دارای سبدی شامل ارزهایی چون BTC، ETH، SOL، AVAX، SUSHI، CRV، NEAR، YFI، YFII، SHIB، DOGE، USDT، USDC، BNB، MANA، MLN، LINK، XMR، ALGO، VET، CAKE، AAVE، COMP، ROOK، TRX، SNX، RUNE، FTM، ZIL، KSM، ENJ، CKB، JOE، GHST، PERP، BTRFLY، OHM، BANANA، ROME، BURGER، SPIRIT و ORCA است. او همچنین بیش از 1٬000 دلار به استخرهای نقدینگی در پلتفرم‌هایی مانند Compound، Curve، SushiSwap، PancakeSwap، BurgerSwap، Orca، AnySwap، SpiritSwap، Rook Protocol، Yearn Finance، Synthetix، Harvest، Redacted Cartel، OlympusDAO، Rome، Trader Joe و SUN تخصیص می‌دهد.