XRP Ledger Foundation недавно выпустила экстренное уведомление для всех разработчиков и пользователей, работающих с официальной JavaScript-библиотекой xrpl.js, предупреждая о выявленной серьезной уязвимости в нескольких версиях данного пакета. Данная уязвимость представляет собой продвинутую атаку через цепочку поставок, в рамках которой вредоносный код был внедрен в версии библиотеки xrpl.js, используемой многочисленными приложениями и веб-сайтами для взаимодействия с блокчейном XRP Ledger. Эта проблема ставит под угрозу безопасность криптовалютных кошельков, так как злоумышленники могут получить доступ к приватным ключам пользователей и, как следствие, украсть их средства.
Открытие и выявление уязвимости было осуществлено исследователями в сфере блокчейн-безопасности компании Alkido. Именно их команда впервые сообщила о том, что в некоторых версиях пакета xrpl.js (конкретно в версиях v4.2.1-4.
2.4 и v2.14.2) был обнаружен вредоносный код – функция под названием checkValidityOfSeed, маскирующаяся под легитимную. Ее задача заключалась в тайном перехвате приватных ключей при создании или работе с объектом Wallet и последующей передаче этих ключей на неавторизованный внешний сервер.
Вредоносный код был внедрен злоумышленником, который использовал NPM-аккаунт "mukulljangid" для публикации зараженных версий библиотеки в реестр Node Package Manager (NPM). Отметим, что данный пакет — это модуль для JavaScript и Node.js-приложений, призванный облегчить установку и обновление зависимостей. Однако компрометация версии именно через NPM вызвала серьезные опасения, поскольку многие разработчики автоматически подтягивали обновления этой библиотеки, потенциально заражая свои проекты. Подозрения усилились из-за того, что версии v4.
2.1-4.2.4 и v2.14.
2 не были синхронизированы с официальным репозиторием XRP Ledger на GitHub, что сразу же вызвало тревогу у экспертов по безопасности. Влияние данной уязвимости чрезвычайно значимо — все приложения и сервисы, использующие зараженные версии xrpl.js, подвергались риску компрометации ключей их пользователей. Это означало потенциальную потерю средств и полный контроль злоумышленников над кошельками. При этом важно отметить, что сам блокчейн XRP Ledger и официальный репозиторий XRPL не были взломаны, уязвимость касалась исключительно сторонних версий библиотеки в NPM.
Стремительно отреагировав на обнаруженную угрозу, XRP Ledger Foundation оперативно отозвала все заражённые версии xrpl.js из публичного доступа на NPM, предотвратив дальнейшее распространение вредоносного кода. Помимо этого была выпущена обновленная версия v4.2.5, в которой устранили все уязвимые элементы и восстановили безопасное функционирование библиотеки.
Разработчикам и владельцам проектов, использующим библиотеку, настоятельно рекомендовано как можно скорее обновиться до версии v4.2.5 или, при необходимости, вернуться к стабильной и не затронутой уязвимостью версии v2.14.3.
Также всем, кто установил уязвимые версии, необходимо немедленно сменить свои приватные ключи и деактивировать ранее использовавшиеся мастер-ключи во избежание компрометации. Подобные инциденты показывают, насколько важно контролировать цепочку поставок программного обеспечения, особенно в мире блокчейнов и криптовалют, где безопасность напрямую связана с финансовыми рисками. Поставщики и пользователи открытого программного обеспечения должны быть особенно бдительны, использовать только официальные и проверенные источники, а также своевременно обновлять используемые библиотеки. Кроме того, несколько крупных проектов, связанных с XRP, таких как Xamans Wallet, XRPScan, First Ledger и Gen3 Games, подтвердили, что их инфраструктуры не пострадали от данной уязвимости. Каждый из них действовал быстро, используя либо безопасные версии библиотеки, либо полностью иные решения, что позволило им избежать возможных потерь и обеспечить защиту пользователей.
Важно отметить, что подобные атакующие стратегии, затрагивающие цепочки поставок популярных пакетов JavaScript и Node.js, становятся все более распространенными, что требует от сообщества повышенного внимания и регулярных аудитов. Автоматизированные системы мониторинга, включая инструменты искусственного интеллекта, помогают выявлять и предупреждать о подобных угрозах. Пример компании Aikido Intel, использующей LLM-модели для мониторинга публичных реестров пакетов, показывает, что развитие технологий искусственного интеллекта может оказаться важным помощником в борьбе с киберугрозами в криптосфере. На фоне этой новости рынок XRP неожиданно продемонстрировал рост, преодолев отметку сопротивления в $2.
20 и достигнув $2.26, что эквивалентно повышению на 7.71% за последние сутки. Существенный рост торгов на 104.04%, который составил $5.
04 миллиарда, свидетельствует о повышенном интересе к криптовалюте со стороны трейдеров и инвесторов. Для разработчиков и пользователей, работающих с XRP Ledger, чрезвычайно важна своевременная реакция на этой инцидент. Обновление библиотеки и замена ключей должны стать первоочередными мерами безопасности. Крайне нежелательно игнорировать рекомендацию обновиться, поскольку риски, связанные с компрометацией приватных ключей, могут привести к значительным финансовым потерям. Подводя итог, можно сказать, что случай с уязвимостью в xrpl.
js — яркий пример вызовов для индустрии децентрализованных технологий. Он подчеркивает необходимость постоянного внимания к безопасности всех компонентов экосистемы, особенно тех, которые связаны с обработкой чувствительных данных пользователей, таких как приватные ключи. Принимая соответствующие меры, можно значительно повысить доверие пользователей к технологии и обеспечить надёжность криптовалютных сервисов в долгосрочной перспективе.
