XRP Ledger yeni gelişmelerle gelişmeye devam ederken, JavaScript kütüphanelerinden biri, tüm ağı ciddi bir risk üzerine koymasıyla son bir olayda güvenlik açığı ile büyülendi.
XRP Ledger Ağı ile etkileşim kurmak için yaygın olarak kullanılan bir araç olan XRPL.js JavaScript kütüphanesinin, en son sürümlerde kötü amaçlı kodlara sahip olduğu bulunmuştur. Bu kütüphane XRP Ledger Vakfı tarafından korunur ve Ripple tarafından XRP blockchain ile etkileşim kurması için önerilir.
İhlal artık ekip tarafından sabitlenmesine rağmen ve depolar en son yamalarla güncelleniyor.
Güvenlik açığı ilk olarak blockchain güvenlik firması Aikido Security tarafından, firma ile kütüphanenin 4.2.1 ila 4.2.4 sürümlerinde bir arka kapı tanımladı. Bu ihlal, saldırganların özel anahtarları çalmasına ve kullanıcı cüzdanlarını boşaltmasına izin verebilir.
“Bu arka kapı özel anahtarları çalıyor ve bunları saldırganlara gönderiyor,” dedi Aikido ekibi “Etkilenen sürümler 4.2.1 – 4.2.4, daha önceki bir sürüm kullanıyorsanız yükseltme”.
Aikido Security’nin kötü amaçlı bir araştırmacısı olan Charlie Eriksen’e göre, bu sofistike bir tedarik zinciri istismarıdır ve muhtemelen bir Ripple çalışanının ‘Mukulljangid’ kullanıcı adı altındaki NPM hesabından ödün verilmesini içeriyordu.
Charlie, “Resmi XRPL (Ripple) NPM paketi, kripto para birimi özel anahtarlarını çalmak ve kripto para birimi cüzdanlarına erişmek için bir arka kapıya koyan sofistike saldırganlar tarafından tehlikeye atıldı” dedi.
Kısa bir zaman çerçevesinde çok sayıda uzlaşılmış versiyonun hızlı bir şekilde piyasaya sürülmesi, saldırganların tespitten kaçınmak için test yöntemleri olduğunu göstermektedir. Bu saldırı, saldırgan kontrollü bir alana, 0x9c’ye aktarırken özel anahtarlar, cüzdan tohumları ve anımsatıcı gibi hassas verileri sifonlamayı amaçladı.[.]xyz.
Neyse ki, ihlalin zamanında ve acil düzeltmesi, kütüphane haftalık 140.000’den fazla indirme ile övündüğü ve birçoğu kurban düştüğü için büyük bir dağıtım engelledi.
Ayrıca okuyun: XRP, Teucrium CEO’su, Bitcoin’den daha fazla yardımcı program sunuyor
