XRP基金會就可能導致用戶資產被盜的漏洞發布聲明

在XRP Ledger的JavaScript開發庫最近的更新版本中發現了一個嚴重的軟件漏洞，這在加密貨幣開發者社區引發了警報。 XRP Ledger Foundation已經透露，在多個版本的JavaScript xrpl包中發現了一個漏洞，這是一個被廣泛使用的軟件開發工具包，用於與XRP Ledger進行交互。 根據該組織，安全漏洞是由Aikido Security的惡意軟件研究員Charlie Eriksen發現的，他將這個問題描述爲一個“可能具有破壞性”的供應鏈攻擊。 埃裏克森警告說：“這個安全漏洞可能允許惡意用戶竊取用戶的私鑰並非法訪問錢包”，但目前尚不清楚是否有用戶受到直接影響。 受影響的版本包括 v4.2.1 到 v4.2.4 和 v2.14.2。XRP Ledger 技術團隊已發布 v4.2.5，禁用受損的包。基於受影響版本的用戶和開發者被建議立即更新。 該基金在社交媒體上的後續聲明中表示： “爲了澄清：這個漏洞位於xrpl.js，這是一個用於與XRP Ledger交互的JavaScript庫。它不影響XRP Ledger的代碼數據庫或GitHub存儲庫。” 惡意軟件似乎是通過Node Package Manager (NPM)引入的，這是一個廣泛用於共享JavaScript包的平台。像Xaman Wallet和XRPScan這樣的項目已確認他們的服務可能不受影響，因爲他們沒有採用被攻擊的版本。 XRP Ledger Foundation聲明，一旦獲得有關後門利用的更多信息，將發布事件的完整報告。