Krytyczna luka bezpieczeństwa pojawiła się niedawno w kluczowym narzędziu deweloperskim dla XRP Ledger, co skłoniło fundację wspierającą sieć do natychmiastowego działania. Firma zajmująca się cyberbezpieczeństwem, Aikodo, odkryła tę podatność, podkreślając utrzymujące się zagrożenia dla infrastruktury blockchain poprzez łańcuchy dostaw oprogramowania.
Wykrycie luki w SDK
Luka bezpieczeństwa została zidentyfikowana przez Aikodo 21 kwietnia w bibliotece JavaScript xrpl.js, zestawie narzędzi deweloperskich (SDK) szeroko używanym przez deweloperów do interakcji z XRP Ledger. Stwierdzono, że wersje od 4.2.1 do 4.2.4 były skompromitowane. Aikodo wykryło podejrzaną aktywność, gdy nowe, złośliwe pakiety zostały dodane do oficjalnego repozytorium pakietów XRPL na NPM (Node Package Manager).
Dalsze dochodzenie wykazało, że atakującym udało się wstrzyknąć kod do tych wersji, tworząc backdoor zaprojektowany do potencjalnego kradzieży kluczy prywatnych z portfeli użytkowników. Biorąc pod uwagę szerokie zastosowanie SDK, ze zgłaszaną średnią liczbą pobrań wynoszącą około 140 000 tygodniowo, exploit stanowił znaczące potencjalne ryzyko dla łańcucha dostaw aplikacji i usług zbudowanych na XRP Ledger. Atakujący próbowali ukryć swoje działania, rozprzestrzeniając złośliwy kod na kilka wersji pakietów.
Reakcja i środki zaradcze Fundacji XRPL
XRP Ledger Foundation, organizacja non-profit wspierająca sieć, szybko potwierdziła problem bezpieczeństwa po otrzymaniu powiadomienia. Szybko wydała załataną wersję, xrpl.js v4.2.5, aby usunąć lukę. Deweloperom korzystającym z dotkniętych wersji (4.2.1-4.2.4) zdecydowanie zalecono natychmiastową aktualizację do nowej, bezpiecznej wersji.
Aby zapobiec dalszym pobraniom skompromitowanego oprogramowania, Fundacja oznaczyła podatne wersje na NPM jako przestarzałe (deprecated). Wyjaśnili, że starsze wersje, takie jak v2.14.3, nie były dotknięte tym konkretnym incydentem. Co ważne, Fundacja podkreśliła, że podstawowy kod źródłowy XRP Ledger i jego repozytorium GitHub pozostały bezpieczne i nie zostały naruszone przez tę lukę w bibliotece JavaScript.
Kilka projektów w ekosystemie XRP Ledger potwierdziło, że nie zostały naruszone. Portfel Xaman oświadczył, że polega na zastrzeżonej infrastrukturze do zarządzania kluczami, podczas gdy eksplorator bloków XRPScan poinformował o użyciu starszej, nieobjętej luką wersji xrpl.js i braku bezpośredniej obsługi kluczy prywatnych. Inne platformy, w tym portfel Bitfrost i usługa DeFi OpulenceX, również zgłosiły brak wpływu.
Wzrost ataków na łańcuch dostaw w świecie krypto
Ten incydent podkreśla rosnący trend, w którym złośliwe podmioty celują w zależności oprogramowania i publiczne repozytoria kodu jako wektory ataków na projekty kryptowalutowe i ich użytkowników. Takie ataki na łańcuch dostaw mają na celu skompromitowanie szeroko używanych narzędzi w celu masowego rozpowszechniania złośliwego oprogramowania. Wcześniejsze incydenty obejmowały nieudane próby skompromitowania narzędzi open-source Coinbase za pośrednictwem GitHub Actions oraz udokumentowane wysiłki grup wspieranych przez państwa, takich jak Lazarus, celujących w deweloperów poprzez złośliwe pakiety NPM. Ciągła czujność i szybka reakcja są kluczowe w obronie przed tymi ewoluującymi zagrożeniami.
Jerry od lat związany jest z rynkami finansowymi i specjalizuje się w analizie trendów kryptowalutowych. Swoje doświadczenie zdobywał w różnych zakątkach świata, a każdą wolną chwilę spędza na śledzeniu wykresów i czytaniu nowości z branży blockchain. Plotka głosi, że potrafi rozpoznać spadek Bitcoina nawet przez sen – i wtedy budzi się, by zapytać: „A może to tylko korekta?”