XRP Ledger'in güncellenmiş JavaScript geliştirme kütüphanesinde ciddi bir yazılım açığı tespit edildi ve bu, kripto para geliştirici topluluğunda alarm yarattı.
XRP Ledger Foundation, XRP Ledger ile etkileşimde bulunmak için yaygın olarak kullanılan bir yazılım geliştirme aracı olan xrpl JavaScript paketinin birçok sürümünde bir güvenlik açığı bulunduğunu açıkladı.
Bu kuruluşa göre, bu güvenlik açığı, Aikido Security'de bir kötü amaçlı yazılım araştırmacısı olan Charlie Eriksen tarafından tespit edildi ve bu sorunu "yıkıcı potansiyele sahip" bir tedarik zinciri saldırısı olarak tanımladı.
Eriksen uyardı: "Bu güvenlik açığı kötü niyetli kişilerin kullanıcıların özel anahtarlarını çalmasına ve cüzdanlara izinsiz erişim sağlamasına olanak tanıyabilir," ancak doğrudan etkilenen kullanıcı olup olmadığı henüz net değil.
Etkilenen sürümler v4.2.1'den v4.2.4'e ve v2.14.2'ye kadar uzanmaktadır. XRP Ledger teknik ekibi, etkilenmiş paketleri devre dışı bırakan v4.2.5'i yayınladı. Etkilenen sürümlere dayanan kullanıcılar ve geliştiricilerin derhal güncellemeleri önerilmektedir.
Bu fon, sosyal medya üzerinden yaptığı bir sonraki açıklamada şöyle belirtti:
"Açıklığa kavuşturmak gerekirse: Bu güvenlik açığı xrpl.js kütüphanesinde yer alıyor, bu kütüphane XRP Ledger ile etkileşim için JavaScript kullanıyor. XRP Ledger'ın kod veritabanını veya GitHub deposunu etkilemiyor."
Kötü amaçlı yazılım, yaygın olarak JavaScript paketlerini paylaşmak için kullanılan Node Package Manager (NPM) aracılığıyla sisteme sızmış gibi görünüyor. Xaman Wallet ve XRPScan gibi projeler, etkilenen sürümleri kullanmadıkları için hizmetlerinin etkilenme olasılığının düşük olduğunu doğruladılar.
XRP Ledger Foundation, olayla ilgili tam raporun daha fazla bilgi alındığında yayınlanacağını duyurdu.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
XRP Vakfı, Kullanıcı Varlıklarının Çalınmasına Neden Olabilecek Açıkla İlgili Bir Bildiri Yayınladı
XRP Ledger'in güncellenmiş JavaScript geliştirme kütüphanesinde ciddi bir yazılım açığı tespit edildi ve bu, kripto para geliştirici topluluğunda alarm yarattı. XRP Ledger Foundation, XRP Ledger ile etkileşimde bulunmak için yaygın olarak kullanılan bir yazılım geliştirme aracı olan xrpl JavaScript paketinin birçok sürümünde bir güvenlik açığı bulunduğunu açıkladı. Bu kuruluşa göre, bu güvenlik açığı, Aikido Security'de bir kötü amaçlı yazılım araştırmacısı olan Charlie Eriksen tarafından tespit edildi ve bu sorunu "yıkıcı potansiyele sahip" bir tedarik zinciri saldırısı olarak tanımladı. Eriksen uyardı: "Bu güvenlik açığı kötü niyetli kişilerin kullanıcıların özel anahtarlarını çalmasına ve cüzdanlara izinsiz erişim sağlamasına olanak tanıyabilir," ancak doğrudan etkilenen kullanıcı olup olmadığı henüz net değil. Etkilenen sürümler v4.2.1'den v4.2.4'e ve v2.14.2'ye kadar uzanmaktadır. XRP Ledger teknik ekibi, etkilenmiş paketleri devre dışı bırakan v4.2.5'i yayınladı. Etkilenen sürümlere dayanan kullanıcılar ve geliştiricilerin derhal güncellemeleri önerilmektedir. Bu fon, sosyal medya üzerinden yaptığı bir sonraki açıklamada şöyle belirtti: "Açıklığa kavuşturmak gerekirse: Bu güvenlik açığı xrpl.js kütüphanesinde yer alıyor, bu kütüphane XRP Ledger ile etkileşim için JavaScript kullanıyor. XRP Ledger'ın kod veritabanını veya GitHub deposunu etkilemiyor." Kötü amaçlı yazılım, yaygın olarak JavaScript paketlerini paylaşmak için kullanılan Node Package Manager (NPM) aracılığıyla sisteme sızmış gibi görünüyor. Xaman Wallet ve XRPScan gibi projeler, etkilenen sürümleri kullanmadıkları için hizmetlerinin etkilenme olasılığının düşük olduğunu doğruladılar. XRP Ledger Foundation, olayla ilgili tam raporun daha fazla bilgi alındığında yayınlanacağını duyurdu.