Ripple 已確認 XRP Ledger 發生了一起嚴重的供應鏈攻擊。此漏洞並未影響整個 Ledger,而是針對使用 NPM(Node Package Manager)官方 xrpl.js 套件的 DeFi 錢包。
目前尚不清楚此次複雜攻擊中有多少用戶資金受到影響,但 Ripple 表示已棄用受影響的套件。多個主要 DeFi 錢包並未下載此套件,目前尚未報告重大盜竊事件。
XRP Ledger 安全漏洞曝光
這次 XRPL 的漏洞最早由區塊鏈安全公司 Aikido 發現。該公司在 Ripple 的 NPM 上發現了五次可疑的 xrpl.js 套件更新。
這是 Ripple 的官方軟體開發套件,每週下載量超過 140,000 次。駭客在此套件中安裝了複雜的後門,能夠竊取私鑰並訪問錢包。
此類漏洞對 XRP 構成嚴重威脅,以至於 Ripple 的首席技術官 David Schwartz 發布了官方警告。該公司資深軟體工程師 Mayukha Vadari 也對此漏洞的性質進行了更詳細的說明。
起初,這似乎是一個小問題,因為漏洞並未直接損害 XRP Ledger(XRPL)。然而,此次攻擊是通過 Ripple 的官方渠道傳播的,暴露了許多用戶於風險之中。
為了了解規模,XRPL 上的 DeFi 錢包目前持有約 8,000 萬美元的用戶存款。即使只竊取其中一小部分,也將是巨大的盜竊。
NPM 是分發系統,若在其中妥協一個高信任度的套件,將形成一個強大的攻擊向量——這是一種針對開發者和基礎設施的供應鏈攻擊,而非直接針對終端用戶。
受損的 NPM 套件可能影響數千個應用程式。當攻擊者將惡意代碼(如後門)注入熱門 NPM 套件時,任何安裝或更新該套件的應用程式或開發者都可能在不知情的情況下將惡意軟體引入其環境中。
XRP Ledger Foundation 確認多個主要的 DeFi 錢包未受影響,並進一步表示已棄用受損的 xrpl.js 版本。該基金會還計劃發布完整的事後分析報告。
此外,駭客成功入侵了與 XRP 互動的 DeFi 協議官方庫。如此複雜的操作可能帶來嚴重後果。
免責聲明
根據信託計畫(Trust Project) 條款,本篇價格預測分析文章僅供參考,不應視為金融或投資的具體建議。 BeInCrypto 致力於提供準確、公正的報告,但市場情況可能會有所變化,恕不另行通知。 在做出任何財務決定之前,請務必自行研究並諮詢專業人士。 請注意,我們的 《服務條款與細則》、 《隱私政策》 以及 《免責聲明》 已經更新。
