Quỹ XRP đã công bố lỗ hổng bảo mật có thể dẫn đến việc tài sản của người dùng bị đánh cắp: "Cần cập nhật ngay lập tức"

Một lỗ hổng phần mềm nghiêm trọng đã được phát hiện trong phiên bản gần đây của thư viện phát triển JavaScript của XRP Ledger và đã gây ra báo động trong cộng đồng các nhà phát triển tiền điện tử.

Quỹ XRP Ledger đã thông báo về việc phát hiện một lỗ hổng bảo mật trong nhiều phiên bản của gói xrpl JavaScript, một bộ công cụ phát triển phần mềm thường được sử dụng để tương tác với XRP Ledger.

Theo quỹ, điều này đã được Charlie Eriksen, một nhà nghiên cứu phần mềm độc hại tại Aikido Security, phát hiện và mô tả vấn đề là một cuộc tấn công chuỗi cung ứng “có khả năng gây hại”.

Eriksen cảnh báo rằng “Lỗ hổng bảo mật này có thể cho phép những kẻ xấu đánh cắp khóa riêng của người dùng và truy cập trái phép vào ví”, nhưng vẫn chưa rõ liệu có bất kỳ người dùng nào bị ảnh hưởng trực tiếp hay không.

Các phiên bản bị ảnh hưởng bao gồm từ v4.2.1 đến v4.2.4 và v2.14.2. Đội ngũ kỹ sư XRP Ledger đã phát hành phiên bản v4.2.5, phiên bản này vô hiệu hóa các gói bị xâm phạm kể từ đó. Người dùng và các nhà phát triển dựa vào các phiên bản bị ảnh hưởng được khuyến nghị cập nhật ngay lập tức.

Quỹ đã nói trong thông báo theo dõi mà họ thực hiện qua mạng xã hội:

“Để làm rõ: Lỗ hổng bảo mật này nằm trong thư viện JavaScript xrpl.js, được sử dụng để tương tác với XRP Ledger. Nó không ảnh hưởng đến mã nguồn của XRP Ledger hoặc chính kho lưu trữ GitHub.”

Mã độc có vẻ đã được giới thiệu thông qua Node Package Manager (NPM), một nền tảng thường được sử dụng để chia sẻ các gói JavaScript. Các dự án như Xaman Wallet và XRPScan xác nhận rằng dịch vụ của họ có thể không bị ảnh hưởng vì họ không áp dụng các phiên bản bị đe dọa.

Quỹ XRP Ledger cho biết sẽ công bố một báo cáo đầy đủ về vụ việc khi có thêm thông tin về cách thức sử dụng backdoor.