چکیده
- یک عامل تهدید از توکن دسترسی توسعهدهنده XRP Ledger سو استفاده کرده و کد مخربی را منتشر کرده است که میتوانست تأثیر فاجعهباری بر شبکه داشته باشد.
- آسیبپذیری مذکور نسخههای خاصی از Node Package Manager را تحت تأثیر قرار داده است، اما خدمات عمده XRP مانند کیف پول Xaman و XRPScan تحت تأثیر قرار نگرفتند.
- بنیاد XRP Ledger به سرعت نسخههای بهروز شده ابزار را برای رفع این مشکل منتشر کرده و پروژهها را به ارتقاء فوری به آخرین نسخه ترغیب کرده است.
یک عامل تهدید از توکن دسترسی توسعهدهنده XRP Ledger سو استفاده کرده و کد مخربی را در شبکه منتشر کرده، اقدامی که میتوانست برای شبکه “فاجعهبار” باشد. تیم امنیتی که این مشکل را شناسایی کرده بود، در یک بهروزرسانی اعلام کرد.
چارلی اریکسن، پژوهشگر Aikido Security که نخستین بار این مشکل را کشف کرد، گفت که در نسخههای اخیر یک ابزار جدید که برای ساخت برنامههای کاربردی با XRP Ledger استفاده میشود، یک مشکل پنهان اضافه شده بود.
Aikido در پلتفرم X اعلام کرد: “یک توکن دسترسی NPM توسعهدهنده توسط عاملان تهدید دزدیده شده است. هنوز مشخص نیست چگونه. همچنین، هنوز از هویت عاملان تهدید اطلاعی در دست نیست (هرچند حدسهایی داریم که در تلاش برای تایید آنها هستیم).”
این مشکل تنها نسخههای خاصی از Node Package Manager (NPM) را تحت تأثیر قرار داده است، سایتی که توسعهدهندگان در آن کدهای قابل استفاده مجدد برای پروژهها را به اشتراک میگذارند. خدمات عمده مرتبط با XRP، مانند کیف پول Xaman و XRPScan، در پستهای جداگانه در X اعلام کردند که تحت تأثیر قرار نگرفتهاند.
With today’s npm vulnerability, it’s a clear reminder about truly knowing what you’re using.
At Xaman, our track record speaks for itself.
We’ve been feature-complete, security-first from day one, building everything in-house.
No shortcuts.
This is what trust looks like. https://t.co/LH1nEFrlPH
این نقص میتواند به مهاجمان اجازه دهد تا کلیدهای خصوصی کاربران را بدزدند و به صورت تئوری به کیف پولهای رمزارزی آنها دسترسی یابند.
اریکسن در یک بهروزرسانی امنیتی اعلام کرد: “در تاریخ ۲ اردیبهشت ۱۴۰۴، ساعت ۰۰:۲۳ به وقت تهران، سیستم ما، Aikido Intel، شروع به هشدار دادن درباره پنج نسخه جدید از بسته xrpl کرد. این بسته SDK رسمی برای XRP Ledger است و بیش از ۱۴۰,۰۰۰ دانلود هفتگی دارد.”
او اضافه کرد که تنها برنامهها یا خدمات خارجی که نسخههای معیوب را در یک دوره کوتاه نصب کردهاند میتوانند در خطر باشند.
بنابراین، تیم بنیاد XRP Ledger به سرعت با انتشار نسخههای بهروز شده ابزار، مشکل را رفع کرد تا نسخههای معیوب جایگزین شوند. نسخههای تحت تأثیر (v4.2.1-4.2.4 و v2.14.2) کنار گذاشته شدند.
بنیاد در پست جداگانهای اعلام کرد: “برای روشن شدن: این آسیبپذیری در xrpl.js، یک کتابخانه جاوااسکریپت برای تعامل با XRP Ledger است. این آسیبپذیری کدبیس XRP Ledger یا مخزن گیتهاب را تحت تأثیر قرار نمیدهد. پروژههایی که از xrpl.js استفاده میکنند باید فوراً به نسخه v4.2.5 ارتقاء یابند.”
To clarify: This vulnerability is in xrpl.js, a JavaScript library for interacting with the XRP Ledger. It does NOT affect the XRP Ledger codebase or Github repository itself. Projects using xrpl.js should upgrade to v4.2.5 immediately.
یک کتابخانه جاوااسکریپت مجموعهای از کدهای پیشنوشته است که برای تسهیل وظایف در توسعه وب استفاده میشود. یک مخزن GitHub فضای ذخیرهسازی آنلاین برای کدها، فایلها و تاریخچه یک پروژه است که بر روی GitHub میزبانی میشود.
قیمتهای XRP در ۲۴ ساعت گذشته با افزایش ۸.۵ درصدی همراه با جهش کلی بازار، افزایش یافته است.
