XRP Foundation Đưa Ra Tuyên Bố Về Lỗ Hổng Có Thể Khiến Tài Sản Của Người Dùng Bị Đánh Cắp

Một lỗ hổng phần mềm nghiêm trọng đã được phát hiện trong phiên bản cập nhật gần đây của thư viện phát triển JavaScript của XRP Ledger, gây báo động trong cộng đồng nhà phát triển tiền điện tử. XRP Ledger Foundation đã tiết lộ rằng một lỗ hổng đã được tìm thấy trong nhiều phiên bản của gói JavaScript xrpl, một bộ công cụ phát triển phần mềm được sử dụng rộng rãi để tương tác với XRP Ledger. Theo tổ chức này, lỗ hổng bảo mật này được phát hiện bởi Charlie Eriksen, một nhà nghiên cứu phần mềm độc hại tại Aikido Security, người mô tả vấn đề này là một cuộc tấn công chuỗi cung ứng "có khả năng tàn phá". Eriksen cảnh báo: "Lỗ hổng bảo mật này có thể cho phép kẻ xấu đánh cắp khóa riêng tư của người dùng và truy cập trái phép vào ví", nhưng vẫn chưa rõ liệu có người dùng nào bị ảnh hưởng trực tiếp hay không. Các phiên bản bị ảnh hưởng bao gồm v4.2.1 đến v4.2.4 và v2.14.2. Nhóm kỹ thuật XRP Ledger đã phát hành v4.2.5, vô hiệu hóa các gói bị xâm phạm. Người dùng và nhà phát triển dựa trên các phiên bản bị ảnh hưởng được khuyến cáo nên cập nhật ngay lập tức. Quỹ này đã phát biểu như sau trong một tuyên bố tiếp theo trên mạng xã hội: “Để làm rõ: Lỗ hổng này nằm trong xrpl.js, một thư viện JavaScript để tương tác với XRP Ledger. Nó không ảnh hưởng đến cơ sở dữ liệu mã XRP Ledger hoặc kho lưu trữ GitHub.” Mã độc có vẻ đã được đưa vào thông qua Node Package Manager (NPM), một nền tảng được sử dụng rộng rãi để chia sẻ các gói JavaScript. Các dự án như Xaman Wallet và XRPScan đã xác nhận rằng các dịch vụ của họ có khả năng không bị ảnh hưởng vì họ không áp dụng các phiên bản bị xâm phạm. XRP Ledger Foundation tuyên bố rằng báo cáo đầy đủ về vụ việc sẽ được công bố ngay khi có thêm thông tin về cách khai thác cửa hậu.