Угроза безопасности для сообщества XRP
Сообщество XRP стало жертвой серьезной угрозы безопасности после недавнего сообщения платформы Aikido Security. В своем твите Aikido Security указала на наличие бэкдора в официальном пакете XRPL NPM — популярной библиотеке для интеграции приложений на JavaScript/TypeScript с XRP Ledger, предоставляющей расширенные функциональные возможности. Этот бэкдор крадет приватные ключи и отправляет их злоумышленникам, что обострило необходимость в срочном предупреждении для всех разработчиков и проектов, связанных с XRP.
Внимание разработчиков
Разработчики должны быть внимательны: убедитесь, что ваш проект не использует версии пакета, охваченные данной уязвимостью. Скомпрометированными оказались версии 4.2.1, 4.2.2, 4.2.3, 4.2.4, а также 2.14.2. Томас Силькяер, руководитель аналитики и соблюдения норм в InFTF, перепостил сообщение Aikido Security и добавил:
«Будьте внимательны. Убедитесь, что ваш проект не использует последние версии NPM, так как это может привести к компрометации учетных записей, созданных с использованием данной библиотеки.»
Подтверждение угрозы
Валидатор XRPL, известный по имени Вет, также подтвердил данное предупреждение, призвав разработчиков и проекты XRP Ledger:
«Если вы используете библиотеку XRPL JS, не обновляйте и не используйте версии 4.2.1 или выше. Это скомпрометировано — любой проект с последней версией XRPL JS ставит пользователей и средства под угрозу. Пожалуйста, сообщите об этом каждому проекту и разработчику.»
Срочное предупреждение от Alloy Network
Инфраструктурный провайдер Alloy Network выпустил срочное предупреждение, подтвердив сообщение Aikido Security:
«Это подтверждено. Последняя версия пакета NPM скомпрометирована. Если вы используете её, вернитесь к более ранней версии немедленно.»
Мнения экспертов
Денис Энджел, инженер-программист в XRPL Labs и Xahau, отметил, что текущая стабильная версия xrpl.js составляет 4.2.0. Xaman Builder из XRPL Labs подчеркнул:
«Скомпрометированный пакет xrpl.js NPM не влияет на Xaman Wallet. Мы используем внутреннюю инфраструктуру и библиотеки, разработанные XRPL Labs, и не полагаемся на сторонние библиотеки для обработки приватных ключей или транзакций. Пользователи Xaman не затронуты.»
