危険にさらされる秘密鍵：XRP台帳、深刻なサプライチェーン搾取と闘う

についてXRP元帳 Foundationは、開発者がXRP Ledgerブロックチェーンとやり取りするために使用する公式JavaScriptライブラリxrpl.jsに重大な脆弱性が発見されたことを確認しました。

によるとブロックチェーンセキュリティ企業のAikidoは、4月22日のブログ投稿でこの情報漏洩について詳述している、 このオープンソースライブラリは、秘密鍵を盗み出し、暗号通貨ウォレットへの不正アクセスを目的としたバックドアを挿入した巧妙な攻撃者によって侵入された。

この脆弱性は特にxrpl.jsライブラリのバージョン4.2.1から4.2.4に影響を及ぼし、Aikidoによって4月21日20:53 GMT+0に初めて検出された。Aikidoの監視システムがNPM（Node Package Manager）レジストリに公開された5つの不審なパッケージにフラグを立てた後だった。

さらに調査を進めると、Aikidoは悪意のあるコードが埋め込まれていることを確認し、侵害されたパッケージと統合されたDeFiウォレットに深刻なリスクをもたらした。

アキドはそう指摘した：

このパッケージは何十万ものアプリケーションやウェブサイトで使用されており、暗号通貨エコシステムに対するサプライチェーン攻撃として壊滅的な打撃を与える可能性がある。

毎週14万件以上がダウンロードされ、何千ものアプリケーションやウェブサイトで広く採用されているため、この事故は重大なサプライチェーンを引き起こした可能性がある。攻撃 -エンドユーザーを直接狙うのではなく、開発者やプロジェクトのインフラを狙う脅威のベクトル。

攻撃者は、この悪用を隠蔽し検知を逃れるために、汚染されたパッケージの複数のバージョンを展開したと報告されている。

NPMのような公開パッケージ・リポジトリーの変更を監視するために設計されたAikidoの内部インテル・ツールは、悪意のある活動を発見するのに役立った。

コアとなるXRP Ledgerネットワーク自体は影響を受けていないが、今回の侵害はオープンソースのブロックチェーンツールのセキュリティに対する懸念が高まっていることを浮き彫りにしている。

リップル社はその後、漏洩したパッケージを非推奨とし、XRP Ledger Foundation は問題が公表された直後に NPM から削除した。

フラグが立てられる前に、どれだけのユーザーがバックドアされたバージョンをインストールしたり、統合したりしたかはまだ不明だ。

このエピソードは、ソフトウェアのサプライチェーンに潜むリスク、つまり広く使われている開発パッケージの信頼性を悪用することで、一度の組織的な攻撃で無数のシステムに侵入される可能性があることを思い起こさせるものだ。

XRPL財団が脆弱性を確認、即時修正を発表

最近発生した情報漏洩事件リップル リップル社の公式JavaScriptライブラリはXRPのエコシステムに深刻な脅威を与えており、リップルCTOのデビッド・シュワルツが公開警告を発するほど深刻です。https://

リップル社のシニア・ソフトウェア・エンジニアであるマユカ・ヴァダリ氏も、脆弱性の技術的側面について詳しく述べている。

XRP Ledger自体に影響はないが、漏洩したライブラリはリップル社の公式チャンネルを通じて配布されたため、ユーザーや開発者は重大なリスクにさらされている。

潜在的な影響はかなり大きい：XRPL上で運用されているDeFiウォレットは、合計で約8000万ドルのユーザー資金を保有している。

そのほんの一部でも、もし危険にさらされれば、かなりの損失となる。

これを受けて、XRPLを管理する非営利団体であるXRP Ledger Foundationは侵害を確認し、迅速に修正プログラムを導入した。

4月22日、財団は危険にさらされたバージョンを置き換えるために、xrpl.jsライブラリのバージョン4.2.5をリリースした。

影響を受けたリリースはすべてNPMで非推奨となり、それ以降のダウンロードはブロックされている。

開発者は、v4.2.5にアップグレードするか、影響を受けなかったv2.14.3にフォールバックするよう促されている。

財団はこう述べている：

"この脆弱性は、XRP Ledgerと対話するためのJavaScriptライブラリであるxrpl.jsにあります。XRP LedgerのコードベースやGithubリポジトリ自体には影響しません。xrpl.jsを使用しているプロジェクトは直ちにv4.2.5にアップグレードしてください。"

財団は、XRPLのコアコードベースとギットハブ レポジトリは危険にさらされていない。

完全な検死報告は近日中に発表される。

XRPScan、First Ledger、Gen3 Gamesを含むいくつかの主要なエコシステム参加者は、影響を受けていないことを確認した。

XRPScanは、秘密鍵を扱わない古いバージョンのライブラリを使用していることを明らかにし、Xaman Walletは、鍵管理を独自のインフラに依存していることを強調した。

それでも、この事件は、安全な開発プラクティスをめぐる、より広範な対話を促した。

Gen3 GamesのCTOであるマーク・アイバニーズ氏は、彼のチームが危険なバージョンを回避できたのは「ちょっとした運」によるものであり、同時に「良い習慣」によるものでもあると述べた。

pnpm-lock.yamlファイルをバージョン管理にコミットすることで、Gen3 Gamesは一貫した依存関係管理を保証し、予期せぬアップデートを回避した。

Ibanez氏は、package.jsonでのキャレット・バージョニングを避けること、可能な限りPerformant NPM (PNPM)を使用すること、予測可能なビルドを維持するために常にロックファイルをコミットすることなどのベスト・プラクティスを強調した。

大きな損害は報告されていないが、この事件は、次のことを強調している。成長攻撃 サーフェス：ブロックチェーンのインフラを支えるオープンソースのツール。

攻撃者の標的がソフトウェアのサプライチェーンに移るにつれ、開発環境の保護はこれまで以上に重要になっている。