资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
XRPXRP Ledger基金会就JavaScript SDK严重安全漏洞发出警告
XRP Ledger基金会近日就官方JavaScript SDK中发现的一个严重安全漏洞发出警告。该漏洞出现在开发者用于与XRPL交互的工具中。
漏洞详情
4月21日,Aikido Security披露,NPM(Node Package Manager)软件的多个版本在发布时包含了一个可以窃取用户私钥的后门。XRPL Labs创始人兼CEO Wietse Wind表示,由于他们的Xaman钱包使用自有的xrpl-client和xrpl-accountlib库,而非xrpl.js,因此未受此漏洞影响。
Wind解释道,xrpl.js包中的恶意代码会将生成或导入的私钥发送到攻击者的外部服务器。这使得黑客能够收集密钥对,等待钱包资金到账后窃取资产。
应对措施
Wind建议最近使用API或相关工具创建XRP钱包的用户应假设钱包已被入侵,并立即转移资金。对此,XRP Ledger基金会已发布移除了恶意代码的NPM包新版本,确保SDK可以安全使用。
漏洞发现过程
Aikido Security的自动化威胁监控系统在NPM的XRPL包更新中发现可疑之处后确认了该漏洞。用户"mukulljangid"发布的5个新版本与XRP Ledger官方GitHub仓库的发布版本不符。
调查显示,受感染的版本包含一个名为checkValidityOfSeed的恶意函数,该函数可以在用户创建钱包时将私钥发送到黑客的服务器0x9c.xyz。
恶意代码分析
早期版本(v4.2.1和v4.2.2)在编译的JavaScript文件中隐藏了后门,而后续版本(v4.2.3和v4.2.4)则直接将恶意代码插入TypeScript源文件中,增加了检测难度。受感染的包还从package.json文件中移除了Prettier和构建脚本等开发工具,显示出故意操纵的痕迹。
事件背景
此次事件发生在Ripple宣布以12.5亿美元收购主要经纪公司Hidden Road几周后。专家预测,此次收购将使XRPL成为机构资金的主要通道。
