资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
XRPXRP遭遇重大安全漏洞:xrpl.js库被攻陷
近日,XRP遭遇了一起重大安全事件,涉及XRP Ledger的JavaScript库之一。名为xrpl.js的Ripple npm JavaScript库在软件供应链攻击中遭到破坏,导致用户私钥泄露。该安全漏洞由Aikido Security发现,并得到Ripple首席技术官David Scwartz的确认。
受影响版本及修复情况
此次事件影响Node Package Manager(NPM)库的特定版本,包括4.2.1、4.2.2、4.2.3、4.2.4和2.14.2。不过,该问题已在较新的4.2.5和2.14.3版本中得到修复。值得庆幸的是,Xaman Wallet和XRPScan等主要XRP服务确认未受影响。
安全专家批评Ripple安全措施
比特币开发者Peter Todd指出,十年前他就曾警告Ripple软件因缺乏PGP签名等适当安全措施而存在安全风险。此次npm库被攻陷导致Ripple存在后门,他批评Ripple未使用安全方法(PGP签名)来验证其代码,否则本可避免此次攻击。
Todd也承认,由于PyPi逐步淘汰PGP签名,他自己的Python库对大多数用户来说也没有PGP签名。他批评软件行业"无能",强调自己对此无能为力。
攻击细节披露
名为"mukulljangid"的用户自2025年4月21日起在xrpl.js包中引入了恶意代码,并新增了一个窃取私钥并将其发送到外部域的功能。攻击者通过一名Ripple员工的npm账户获得访问权限。此外,攻击者在短时间内使用了多个版本以避免检测,但没有证据表明GitHub仓库中存在后门。
官方回应与建议
XRP Ledger基金会已发布澄清声明,确认受影响的xrpl.js版本已被移除。建议开发者使用4.2.5或2.14.3版本,详细报告即将发布。
事件影响与反思
该事件引发了人们对软件安全的担忧,尤其是在涉及客户支持和巨额资金的加密货币领域。此次事件再次凸显了加强软件供应链安全的重要性。
