Ang XRP Ledger Bug ay Na-patch Pagkatapos ng 'Seryoso' na Kapintasan sa XRPL Library

Isang banta na aktor ang tila nagsasamantala sa developer ng access token ng XRP Ledger upang mag-publish ng ipinagbabawal na code sa umuusbong na network sa isang hakbang na maaaring maging "kasakuna" para sa network, ang security team na nakakita ng isyu sabi sa isang update.

Si Charlie Eriksen, isang mananaliksik sa Aikido Security na unang nakakita ng problema, ay nagsabi na isang nakatagong isyu ang idinagdag sa mga kamakailang bersyon ng isang bagong toolkit na ginamit upang bumuo ng mga app na gumagana sa XRP Ledger.

"Ang NPM access token ng developer ay ninakaw ng mga aktor ng pagbabanta," sabi ni Aikido sa X. "Hindi malinaw kung paano ngayon. Hindi rin malinaw kung sino ang mga aktor ng pagbabanta sa ngayon (bagama't mayroon kaming kutob na sinusubukan naming kumpirmahin)."

Nakakaapekto lang ang isyu sa mga bersyon ng Node Package Manager (NPM), isang site kung saan nagbabahagi ang mga developer ng reusable code para sa mga proyekto. Ang mga pangunahing serbisyong nauugnay sa XRP, tulad ng Xaman Wallet at XRPScan, ay nagsabi na sila hindi apektado sa magkahiwalay na X post.

Ang kapintasan na ito ay maaaring hayaan ang mga umaatake na nakawin ang mga pribadong key ng mga user, posibleng ma-access ang kanilang mga Crypto wallet sa teorya.

"Noong 21 Abr, 20:53 GMT+0, ang aming system, Aikido Intel ay nagsimulang alertuhan kami sa limang bagong bersyon ng package ng xrpl package. Ito ang opisyal na SDK para sa XRP Ledger, na may higit sa 140.000 lingguhang pag-download," sabi ni Eriksen sa isang update sa seguridad.

"Ang package na ito ay ginagamit ng daan-daang libong mga application at website na ginagawa itong isang potensyal na sakuna na pag-atake ng supply chain sa Cryptocurrency ecosystem," sabi ni Eriksen.

Idinagdag niya na ang mga third-party na app o serbisyo lamang na nag-install ng mga depektong bersyon sa loob ng maikling panahon ay maaaring nasa panganib.

Dahil dito, mabilis na inayos ng koponan ng XRP Ledger Foundation ang isyu sa pamamagitan ng paglalabas ng mga na-update na bersyon ng tool upang palitan ang mga may sira. Ang mga apektadong bersyon (v4.2.1-4.2.4 at v2.14.2) ay hindi na ginagamit.

"Upang linawin: Ang kahinaan na ito ay nasa xrpl.js, isang JavaScript library para sa pakikipag-ugnayan sa XRP Ledger. HINDI nito naaapektuhan ang XRP Ledger codebase o Github repository mismo. Ang mga proyektong gumagamit ng xrpl.js ay dapat mag-upgrade kaagad sa v4.2.5," hiwalay na nai-post ng foundation.

Ang JavaScript library ay isang koleksyon ng pre-written code upang pasimplehin ang mga gawain sa web development. Ang repo ng GitHub ay isang online na storage space para sa code, mga file, at history ng isang proyekto, na naka-host sa GitHub.

Ang mga presyo ng XRP ay tumaas ng 8.5% sa nakalipas na 24 na oras kasabay ng mas malawak na paglukso sa merkado.