- Hintertür in XRPL.js NPM-Paketen, die private Schlüssel in den Versionen 4.2.1 bis 4.2.4 offengelegt haben
- Nur die NPM-Distribution wurde kompromittiert, das GitHub-Repository bleibt davon unberührt
- Schnelle Veröffentlichung von Version 4.2.5 zum Patchen von Schwachstellen und zum Sichern von Entwicklerumgebungen
Eine kritische Sicherheitslücke hat die XRP-Entwicklergemeinschaft erschüttert, nachdem eine Hintertür in XRPL.js Paketversionen 4.2.1 bis 4.2.4 auf NPM entdeckt wurde. Der bösartige Code, der in den Versionen 4.2.1 bis 4.2.4 enthalten ist, war in der Lage, die privaten Schlüssel der Benutzer zu stehlen und sie an Angreifer zu übertragen.
Dies veranlasste den Chief Technology Officer von Ripple, David Schwartz, zu einer öffentlichen Warnung. Entwicklern, die diese kompromittierten Versionen verwenden, wird dringend empfohlen, alle offengelegten Anmeldeinformationen als kompromittiert zu behandeln.
Verletzung, die auf NPM beschränkt ist; Core Ledger Sicher
Der Verstoß, der zuerst von Aikido Security gemeldet wurde, enthüllte, dass die NPM-Verteilung von XRPL.js mit Code zum Diebstahl von Schlüsseln verändert wurde. Das GitHub-Repository war nicht betroffen. Dies deutet darauf hin, dass nur der NPM-Kanal kompromittiert wurde.
Mehr zum Thema: Ripples RLUSD-Stablecoin geht für die Kreditvergabe und Kreditaufnahme auf Aave v3 live
Entwickler, die vertrauenswürdige Quellen wie GitHub verwenden, sind daher nicht betroffen. Mayukha Vadari, Senior Engineer von RippleX, bestätigte, dass das Kern-XRP-Ledger immer noch sicher ist und normal funktioniert.
Schnelle Lösung ausgegeben, Ökosystem reagiert
In weniger als 24 Stunden wurden die bösartigen Versionen von NPM entfernt. Eine sichere Version, 4.2.5, wurde nun als Fix veröffentlicht. Darüber hinaus können Benutzer, die auf dem 2.x-Zweig arbeiten, die Version 2.14.3 sicher verwenden. Das schnelle Handeln der XRP Ledger Foundation und des breiteren Ripple-Entwicklungsteams trug dazu bei, das einzudämmen, was eine weit verbreitete Bedrohung hätte sein können.
Mehr zum Thema: Ripples Träume von der Börsennotierung hängen von der Verkaufsentscheidung eines Richters ab
Der Exploit löste in der Blockchain-Entwickler-Community Bedenken aus, insbesondere bei Diensten, die XRPL.js integrieren. Die Wallet-Anbieter Xaman, First Ledger und Gen3Games gaben bekannt, dass sie nicht kompromittiert wurden. Die XRP Ledger Foundation hat die bösartigen Pakete ebenfalls entfernt.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
