XRP Ledger SDK Arka kapıdan istismar tarafından tehlikeye atıldı

XRP Ledger Vakfı, XRPL ile etkileşime giren resmi JavaScript SDK’da bir güvenlik açığı konusunda uyardı.

21 Nisan’da Aikido Security, Düğüm Paket Yöneticisi (NPM) yazılımının çeşitli sürümlerinin, kullanıcılardan özel anahtarlar çalabilecek bir arka kapı içeren tehlikeye atıldığını ve yayınlandığını ortaya koydu.

Geliştirici kitinde güvenlik kusuru

XRP Ledger Vakfı sorunu 22 Nisan’da doğruladı ifade:

“Bugünün başlarında, @Aikidosecurity’den bir güvenlik araştırmacısı, XRPL NPM paketinde (v4.2.1-4.2.4 ve v2.14.2) ciddi bir güvenlik açığı tespit etti.”

İhlal, Wietse Wind, XRPL Labs’ın kurucusu ve CEO’su, güvence altına alınmış Xaman cüzdanının kusurdan etkilenmediği kullanıcılar. Rüzgar, ürünün XRPL.JS kullanmadığını, bunun yerine cüzdan bağlantısını imzalama işleminden ayıran XRPL istemcisine ve XRPL-Accountlib kütüphanelerine dayandığını açıkladı.

Ayrıca olayın nasıl ortaya çıktığını detaylandırdı, XRPL.JS paketindeki kötü amaçlı kodun, saldırgan tarafından kontrol edilen harici bir sunucuya oluşturulan veya ithal edilen özel anahtarlar gönderdiğini belirtti. Bu, bilgisayar korsanlarının anahtar çiftleri toplamasını, cüzdanların finanse edilmesini beklemesini ve ardından varlıkları çalmasını sağladı.

Wind, yakın zamanda API veya ilgili araçları kullanarak bir XRP cüzdanı oluşturan herkesi, tehlikeye atıldığını varsaymak ve fonlarını derhal aktarmaya çağırdı.

Bu tür saldırıların üçüncü taraf kütüphanelere dayanan herhangi bir yazılıma olabileceğini ve geliştiricilerin önlem almaları gerektiğini vurguladı. Ayrıca, yayınlama erişimini sınırlandırmayı, yayınlanmadan önce kod taramayı, otomatik yayınlama boru hatlarından kaçınmayı ve ilişkili riskleri ele almaya tam olarak hazırlanmadıkça doğrudan özel anahtarları yönetmemesini tavsiye etti.

XRPL Acil Yama Sorunlar

Olaydan sonra, XRP Ledger Vakfı piyasaya sürülmüş NPM paketinin temiz bir sürümü, kötü amaçlı kodun kaldırılması ve SDK’nın geliştiricilerin tekrar kullanması için güvenli olmasını sağlayan.

Aikido Security, otomatik tehdit izleme sisteminin NPM’deki XRPL paketinde şüpheli güncellemeleri işaretledikten sonra güvenlik açığını keşfetti. “Mukulljangid” adlı bir kullanıcı tarafından yayınlanan bu güncellemeler, XRP Ledger’in GitHub deposunda herhangi bir resmi sürümle eşleşmeyen beş yeni sürüm içeriyordu.

Araştırdıktan sonra Aikido kurmak Tahminen sürümlerin, hacker’ın 0x9c’deki sunucusuna özel anahtarlar gönderen CheckValidididityFseed adlı kötü niyetli bir işlev içermesi[.]XYZ, kullanıcılar kriptolarını çalmalarına izin verebilecek bir cüzdan oluşturduğunda.

İlk sürümler (v4.2.1 ve v4.2.2), derlenmiş JavaScript dosyalarında arka kapıyı gizlerken, sonraki sürümler (v4.2.3 ve v4.2.4) kötü amaçlı kodu doğrudan TypeScript kaynak dosyalarına yerleştirerek algılamayı zorlaştırdı. Geri ihlal edilen paketler ayrıca kasıtlı manipülasyon gösteren Package.json dosyasından daha güzel ve komut dosyaları oluşturma gibi geliştirme araçlarını da kaldırdı.

Olay, Ripple’ın 1,25 milyar dolarlık bir ana aracı kurum firması Hidden Road’un satın alındığını duyurmasından sadece haftalar sonra, bir hamle uzmanları XRPL’yi kurumsal fonlar için büyük bir kanal haline getireceğine inanıyor.

Ripple CEO’su Brad Garlinghouse’a göre, ağ bazı işlemlerde ticaret sonrası yerleşimler için kullanılacak ve potansiyel olarak kurumsal ölçekli bir takas ve kredi platformuna dönüştürecek.