Ripple тільки що підтвердив серйозну атаку на ланцюг постачання, націлену на екосистему XRP Ledger (XRPL), зокрема на гаманці DeFi, що використовують офіційний пакет програмного забезпечення xrpl.js з NPM (Node Package Manager). Ця вразливість не вплинула на весь XRPL, а лише на деякі гаманці DeFi, які залежать від бібліотеки з встановленим шкідливим кодом.
Цей інцидент був вперше виявлений компанією безпеки блокчейну Aikido, коли вони виявили 5 підозрілих оновлень у пакеті xrpl.js — офіційному програмному забезпеченні (SDK) від Ripple, який завантажується більше 140 000 разів на тиждень. Хакер встановив складний бекдор у цьому пакеті, що дозволяє викрадати приватні ключі та несанкціоновано отримувати доступ до гаманців користувачів.
Хоча неясно, скільки користувачів постраждали, Ripple повідомила, що вони припинили використання зламаних версій і попередили спільноту розробників про цей серйозний ризик.
Варто зазначити, що хоча помилка безпеки безпосередньо не впливає на XRPL, вона поширилася через офіційний канал Ripple, що могло вплинути на багатьох розробників та користувачів DeFi, які могли не знати про це.
Атака на ланцюг постачання – тихий загроз
Цей напад є яскравим прикладом атаки на ланцюг постачання – коли хакери намагаються вразити інструменти розробки, а не кінцевих користувачів. Коли популярний пакет NPM заражається шкідливим кодом, тисячі застосунків і проектів, які залежать від цього пакета, також випадково стають жертвами.
У цьому випадку DeFi гаманці на XRPL наразі утримують близько 80 мільйонів доларів США депозитів. Лише невелика частина цих коштів, що потрапила в неналежні руки, може призвести до серйозних наслідків.
Девід Шварц – технічний директор Ripple – зробив офіційне попередження. Старший програміст Майюка Вадары також опублікував технічні деталі, пов’язані з вразливістю. Тим часом, організація XRP Ledger Foundation підтвердила, що багато великих гаманців DeFi не використовують заражений пакет, а також повідомила, що незабаром опублікує повний звіт з аналізом.
Крім того, хакери також зламали офіційну бібліотеку, яка використовується протоколами DeFi для взаємодії з XRP, що свідчить про те, що це складна, організована кампанія, яка може мати великі наслідки для екосистеми XRP.
Застереження: Ця стаття має лише інформаційний характер і не є інвестиційною порадою. Інвесторам слід ретельно вивчити інформацію перед прийняттям рішення. Ми не несемо відповідальності за ваші інвестиційні рішення.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
