在XRP Ledger的JavaScript開發庫最近的更新版本中發現了一個嚴重的軟件漏洞,這在加密貨幣開發者社區引發了警報。 XRP Ledger Foundation已經透露,在多個版本的JavaScript xrpl包中發現了一個漏洞,這是一個被廣泛使用的軟件開發工具包,用於與XRP Ledger進行交互。 根據該組織,安全漏洞是由Aikido Security的惡意軟件研究員Charlie Eriksen發現的,他將這個問題描述爲一個“可能具有破壞性”的供應鏈攻擊。 埃裏克森警告說:“這個安全漏洞可能允許惡意用戶竊取用戶的私鑰並非法訪問錢包”,但目前尚不清楚是否有用戶受到直接影響。 受影響的版本包括 v4.2.1 到 v4.2.4 和 v2.14.2。XRP Ledger 技術團隊已發布 v4.2.5,禁用受損的包。基於受影響版本的用戶和開發者被建議立即更新。 該基金在社交媒體上的後續聲明中表示: “爲了澄清:這個漏洞位於xrpl.js,這是一個用於與XRP Ledger交互的JavaScript庫。它不影響XRP Ledger的代碼數據庫或GitHub存儲庫。” 惡意軟件似乎是通過Node Package Manager (NPM)引入的,這是一個廣泛用於共享JavaScript包的平台。像Xaman Wallet和XRPScan這樣的項目已確認他們的服務可能不受影響,因爲他們沒有採用被攻擊的版本。 XRP Ledger Foundation聲明,一旦獲得有關後門利用的更多信息,將發布事件的完整報告。
