Критика Ripple от Питера Тодда
В недавнем посте в социальных сетях Питер Тодд, высококлассный канадский разработчик Bitcoin и наиболее вероятный кандидат на роль Сатоши Накамото в документальном фильме HBO 2024 года, выразил свою критику в адрес компании Ripple. Это произошло после того, как в библиотеке JavaScript, используемой для XRP Ledger (XRPL), была обнаружена уязвимость. Тодд напомнил, что он предостерегал о подобной уязвимости десять лет назад.
Уязвимость в библиотеке XRPL
Как сообщает U.Today, технический директор Ripple Дэвид Шварц недавно направил предупреждение о наличии вредоносного кода в библиотеке, который изначально был выявлен компанией Aikido Security. Уязвимость позволяла отправлять приватные ключи на подозрительный домен, что фактически обеспечивало злоумышленникам возможность украсть ключи пользователей, использующих скомпрометированные версии набора инструментов для разработки программного обеспечения XRPL (SDK).
Отсутствие криптографической подписи PGP
Ранее Тодд опубликовал статью, в которой утверждал, что безопасность Ripple может быть скомпрометирована из-за отсутствия криптографической подписи PGP, подтверждающей их код. Это могло позволить хакерам внедрить вредоносный код и распространить фальшивую версию программного обеспечения. Иронично, что такой же тип атаки проявился спустя десять лет, когда компрометация NPM привела к обнаружению вредоносной уязвимости. Примечательно, что Шварц признал, что его предупреждение было «актуально на тот момент» в феврале.
Комментарий о библиотеке Tодда
В то же время Тодд заметил, что его собственная библиотека программного обеспечения не подписана PGP, поскольку Python Package Index (PyPi) прекратил поддержку таких загрузок. «
Честно говоря, на данный момент моя библиотека python-bitcoinlib не подписана PGP для большинства пользователей, потому что PyPi принял идиотское решение отказаться от подписей PGP. Я не могу с этим ничего поделать; вся индустрия программного обеспечения безграмотна,»
— отметил он.
