Khóa riêng tư có nguy cơ: XRP Ledger đấu tranh với lỗ hổng chuỗi cung ứng nghiêm trọng

CácSổ cái XRP Foundation đã xác nhận phát hiện ra lỗ hổng nghiêm trọng trong thư viện JavaScript chính thức của mình, xrpl.js, được các nhà phát triển sử dụng để tương tác với blockchain XRP Ledger.

Theocông ty bảo mật blockchain Aikido, đã nêu chi tiết về vụ vi phạm trong bài đăng trên blog ngày 22 tháng 4, thư viện mã nguồn mở đã bị những kẻ tấn công tinh vi xâm nhập bằng cách chèn một cửa hậu được thiết kế để đánh cắp khóa riêng tư và truy cập trái phép vào ví tiền điện tử.

Lỗ hổng bảo mật này ảnh hưởng cụ thể đến các phiên bản 4.2.1 đến 4.2.4 của thư viện xrpl.js và được Aikido phát hiện lần đầu tiên vào ngày 21 tháng 4 lúc 20:53 GMT+0, sau khi hệ thống giám sát của họ đánh dấu năm gói đáng ngờ được công bố lên sổ đăng ký NPM (Trình quản lý gói Node).

Sau khi kiểm tra kỹ hơn, Aikido xác nhận rằng mã độc đã được nhúng vào, gây ra rủi ro nghiêm trọng cho bất kỳ ví DeFi nào được tích hợp với gói bị xâm phạm.

Akido lưu ý:

“Gói này được sử dụng bởi hàng trăm nghìn ứng dụng và trang web, khiến nó trở thành một cuộc tấn công chuỗi cung ứng thảm khốc có khả năng xảy ra đối với hệ sinh thái tiền điện tử.”

Với hơn 140.000 lượt tải xuống hàng tuần và được áp dụng rộng rãi trên hàng nghìn ứng dụng và trang web, sự cố này có thể đã gây ra một chuỗi cung ứng đáng kểtấn công —một mối đe dọa nhắm vào các nhà phát triển và cơ sở hạ tầng của dự án thay vì trực tiếp vào người dùng cuối.

Những kẻ tấn công được cho là đã triển khai nhiều phiên bản của gói phần mềm độc hại để che giấu lỗ hổng và tránh bị phát hiện.

Công cụ Intel nội bộ của Aikido, được thiết kế để theo dõi những thay đổi trong kho lưu trữ gói công khai như NPM, đã đóng vai trò quan trọng trong việc phát hiện hoạt động độc hại.

Trong khi mạng lưới XRP Ledger cốt lõi vẫn không bị ảnh hưởng, vụ vi phạm này làm nổi bật mối lo ngại ngày càng tăng về tính bảo mật của các công cụ blockchain nguồn mở.

Ripple đã ngừng sử dụng các gói bị xâm phạm và XRP Ledger Foundation đã xóa chúng khỏi NPM ngay sau khi sự cố được công khai.

Hiện vẫn chưa rõ có bao nhiêu người dùng đã cài đặt hoặc tích hợp các phiên bản có cửa hậu trước khi chúng bị gắn cờ.

Tập phim này đóng vai trò như lời nhắc nhở nghiêm khắc về những rủi ro liên quan đến chuỗi cung ứng phần mềm - nơi mà lòng tin vào một gói phát triển được sử dụng rộng rãi có thể bị lợi dụng để xâm nhập vào vô số hệ thống chỉ bằng một cuộc tấn công phối hợp duy nhất.

XRPL Foundation xác nhận lỗ hổng, phát hành bản sửa lỗi ngay lập tức

Vụ vi phạm gần đây liên quan đếnGợn sóng Thư viện JavaScript chính thức của Ripple gây ra mối đe dọa nghiêm trọng đối với hệ sinh thái XRP—nghiêm trọng đến mức Giám đốc công nghệ của Ripple, David Schwartz, phải đưa ra cảnh báo công khai. https://

Mayukha Vadari, một kỹ sư phần mềm cao cấp tại Ripple, cũng giải thích chi tiết về các khía cạnh kỹ thuật của lỗ hổng bảo mật.

Trong khi XRP Ledger không bị ảnh hưởng, thư viện bị xâm phạm đã được phân phối thông qua các kênh Ripple chính thức, khiến người dùng và nhà phát triển phải chịu rủi ro đáng kể.

Hậu quả tiềm tàng là rất đáng kể:Ví DeFi hoạt động trên XRPL nắm giữ tổng cộng khoảng 80 triệu đô la tiền của người dùng.

Ngay cả một phần nhỏ trong số đó, nếu bị tổn hại, cũng sẽ gây ra tổn thất đáng kể.

Để ứng phó, XRP Ledger Foundation, tổ chức phi lợi nhuận quản lý XRPL, đã xác nhận vụ vi phạm và nhanh chóng triển khai bản sửa lỗi.

Vào ngày 22 tháng 4, Foundation đã phát hành phiên bản 4.2.5 của thư viện xrpl.js để thay thế các phiên bản bị xâm phạm.

Tất cả các bản phát hành bị ảnh hưởng đều đã ngừng hỗ trợ trên NPM, chặn các lượt tải xuống tiếp theo.

Các nhà phát triển được khuyến khích nâng cấp lên v4.2.5 hoặc quay lại v2.14.3 vì phiên bản này không bị ảnh hưởng.

Quỹ này cho biết:

“Lỗ hổng này nằm trong xrpl.js, một thư viện JavaScript để tương tác với XRP Ledger. Nó KHÔNG ảnh hưởng đến cơ sở dữ liệu mã XRP Ledger hoặc kho lưu trữ Github. Các dự án sử dụng xrpl.js nên nâng cấp lên v4.2.5 ngay lập tức.”

Điều quan trọng là Quỹ lưu ý rằng cơ sở mã cốt lõi của XRPL vàGitHub kho lưu trữ không bị xâm phạm.

Báo cáo khám nghiệm tử thi đầy đủ sẽ sớm được công bố.

Một số đơn vị tham gia hệ sinh thái lớn, bao gồm XRPScan, First Ledger và Gen3 Games, đã xác nhận rằng họ không bị ảnh hưởng.

XRPScan đã làm rõ rằng họ sử dụng phiên bản thư viện cũ hơn không xử lý khóa riêng tư và Xaman Wallet nhấn mạnh rằng họ dựa vào cơ sở hạ tầng riêng để quản lý khóa.

Tuy nhiên, sự cố này đã thúc đẩy những cuộc thảo luận rộng rãi hơn về các hoạt động phát triển an toàn.

Mark Ibanez, Giám đốc công nghệ của Gen3 Games, cho rằng việc nhóm của ông tránh được các phiên bản bị xâm phạm là nhờ "một chút may mắn" - nhưng cũng nhờ vào các biện pháp thực hành tốt.

Bằng cách cam kết tệp pnpm-lock.yaml của mình với kiểm soát phiên bản, Gen3 Games đã đảm bảo quản lý sự phụ thuộc một cách nhất quán, tránh các bản cập nhật bất ngờ.

Ibanez đã nêu bật những biện pháp thực hành tốt nhất như tránh phiên bản dấu mũ trong package.json, sử dụng Performant NPM (PNPM) khi có thể và luôn cam kết các tệp khóa để duy trì bản dựng có thể dự đoán được.

Mặc dù không có thiệt hại lớn nào được báo cáo, sự cố này nhấn mạnh mộttấn công ngày càng tăng bề mặt: các công cụ mã nguồn mở hỗ trợ cơ sở hạ tầng blockchain.

Khi kẻ tấn công chuyển hướng tập trung vào chuỗi cung ứng phần mềm, việc bảo vệ môi trường phát triển trở nên quan trọng hơn bao giờ hết.