Потенциальный кризис безопасности на XRP Ledger
Потенциальный кризис безопасности удалось предотвратить в последний момент, когда хакер воспользовался токеном доступа разработчика для внедрения вредоносного кода в ключевой инструментарий, используемый в приложениях на XRP Ledger. Уязвимость, выявленная исследователем Чарли Эриксеном из Aikido Security, могла привести к крупной атаке на цепочку поставок в экосистеме криптовалют.
Вредоносный код и его последствия
Хакер использует токен NPM для публикации вредоносных версий xrpl.js на XRP Ledger.
Согласно информации от Aikido Security, злоумышленник получил доступ к токену Node Package Manager (NPM) разработчика, что позволило ему публиковать скомпрометированные версии xrpl.js, официальной библиотеки JavaScript для взаимодействия с XRP Ledger. С более чем 140 000 недельных загрузок, этот пакет широко интегрирован в сотни тысяч приложений и веб-сайтов, что вызывает серьезные опасения по поводу масштаба возможной утечки.
«Это могло бы иметь катастрофические последствия», — предостерегает Эриксен в обновлении по безопасности, отметив, что уязвимость теоретически позволяла хакерам красть приватные ключи и ставить под угрозу криптовалютные кошельки.
Вредоносный код был выявлен 21 апреля, когда система мониторинга Aikido обнаружила пять подозрительных версий пакета. К счастью, крупнейшие платформы, связанные с XRP, такие как Xaman Wallet и XRPScan, подтвердили, что они не пострадали. Риск был ограничен для третьих сторон, которые установили скомпрометированные версии—v4.2.1 до v4.2.4 и v2.14.2—в течение короткого промежутка времени, прежде чем проблема была устранена.
Фонд XRP Ledger быстро отреагировал, объявив затронутые версии некорректными и выпустив обновление с исправлениями v4.2.5, призвав всех разработчиков, использующих xrpl.js, немедленно обновиться. Фонд уточнил, что основной код XRP Ledger и его репозиторий на GitHub остались нетронутыми, так как уязвимость была изолирована в внешней библиотеке JavaScript.
Хотя личность хакера остается неизвестной, Aikido Security намекнул на наличие зацепок в ходе расследования. Несмотря на возникшую панику, цены на XRP показали стойкость, увеличившись на 8,5% за последние 24 часа на фоне общего ралли на рынке криптовалют.
Завершение иска SEC против Ripple Labs
Юридический конфликт между Ripple Labs и Комиссией по ценным бумагам и биржам США (SEC) завершился после более чем четырех лет, что стало значительным событием в регулировании криптовалют. В декабре 2020 года SEC подала иск против Ripple Labs, утверждая, что компания провела незарегистрированное предложение ценных бумаг, продав токены XRP и собрав более 1,3 миллиарда долларов.
Ripple оспорила это заявление, утверждая, что XRP является цифровой валютой, а не ценными бумагами. В июле 2023 года судья округа США Аналиса Торрес вынесла смешанное решение: она определила, что продажи XRP институциональным инвесторам нарушали законы о ценных бумагах, тогда как продажи на публичных биржах – нет. В результате Ripple был вынужден выплатить гражданский штраф в размере 125 миллионов долларов.
В марте 2025 года Ripple и SEC достигли соглашения. В соответствии с соглашением Ripple выплатит 50 миллионов долларов из ранее наложенного штрафа, в то время как оставшиеся 75 миллионов долларов будут возвращены компании. Обе стороны согласовали отмену своих апелляций, что фактически завершило судебное разбирательство.
