คุณจะไม่เชื่อสิ่งที่แอบเข้าไปใน XRP Ledger SDK!

ในประเพณีอันยิ่งใหญ่ของ“ ใครออกจากประตูหลังเปิดอีกครั้ง?” มูลนิธิ Ledger XRP Ledger เพิ่งประกาศว่า JavaScript SDK อย่างเป็นทางการตัดสินใจที่จะแสงจันทร์เป็นตัวแทนลับสำหรับแฮ็กเกอร์ ใช่สิ่งที่พูดถึง XRPL ได้กระซิบกุญแจส่วนตัวของคุณกับคนแปลกหน้า

ในวันที่โชคร้ายอย่างน่าสงสัยเมื่อวันที่ 21 เมษายนมีการเฝ้าระวังดิจิตอลที่ Aikido Security สะดุดกับ Gremlin ตัวน้อยที่น่ารังเกียจซ่อนตัวอยู่ในแพ็คเกจ NPM หลายรุ่นบรรจุไว้ภายใต้หน้ากากที่ไร้เดียงสาของ “การอัปเดต”

ข้อบกพร่องด้านความปลอดภัยในชุดนักพัฒนา (หรือวิธีการสูญเสียกุญแจส่วนตัวก่อนกาแฟของคุณ)

มูลนิธิ XRP Ledger ไม่ต้องเสียเวลาในการออกแถลงการณ์เมื่อวันที่ 22 เมษายนยืนยันว่าใช่คนที่มีค่า xrpl ชุดแพ็คเกจ NPM 4.2.1 ถึง 4.2.4 และ 2.14.2 ถูกประนีประนอม เพราะตามธรรมชาติบทเรียนที่นี่ไม่เคยเชื่อถืออะไรเลยด้วยหมายเลขเวอร์ชันที่สูงกว่า 1.0.0

“ ก่อนหน้านี้ในวันนี้นักวิจัยด้านความปลอดภัยจาก @aikidosecurity ระบุช่องโหว่ที่ร้ายแรงในแพ็คเกจ XRPL NPM”

ในขณะเดียวกัน Wietse Wind – ไม่มีความสัมพันธ์กับสายลม แต่ก็ถาวร – กระโดดเข้ามาเพื่อบรรเทาเส้นประสาทที่หลุดออกมาโดยการรับรองทุกคนว่ากระเป๋าเงินซามานไม่ใช่ผู้ร้าย กระเป๋าเงินของมันทำการเต้นรำที่มีฝีมือโดยอาศัย xrpl-client และ xrpl-Accountlib ซึ่งทำให้ธุรกิจการลงนามแยกออกจาก Chit-Chat ได้อย่างมีประสิทธิภาพหลบโครงการ Dastardly นี้

Wietse อธิบาย Modus Operandi ของแฮ็กเกอร์: รหัสลื่นไถลลงใน xrpl.js ที่ส่งคีย์ส่วนตัวในช่วงวันหยุดเล็กน้อยไปยังที่อยู่ที่น่าสงสัยชื่อ 0x9c [.] XYZ baddies รออย่างอดทนจนกว่ากระเป๋าเงินจะเต็มแล้วแบม – ออกไปด้วย crypto ของคุณ!

หากคุณเล่นซอกับ XRPL API หรือเครื่องมือที่เกี่ยวข้องเมื่อเร็ว ๆ นี้ทำสิ่งที่โตขึ้นและคิดว่ากระเป๋าเงินของคุณส่งมอบให้กับแฮ็กเกอร์เมื่อเช้านี้ ถึงเวลาแพ็คและย้ายเงินของคุณเร็วกว่าไม้กวาดในการแข่งขันของแม่มด

โอ้และเพราะนักพัฒนาชอบเล่นด้วยไฟ Wietse เตือนทุกคน: การพึ่งพาห้องสมุดบุคคลที่สามเป็นครั้งคราวเหมือนทิ้งหมาป่าไว้ในความดูแลของ Henhouse เพื่อให้นิ้วของคุณถูกไฟไหม้น้อยลง จำกัด ผู้ที่สามารถเผยแพร่รหัสตรวจสอบทุกอย่างเช่นเดียวกับเงินของคุณหลีกเลี่ยงท่อเผยแพร่อัตโนมัติ (พวกเขาชอบลิ้นชักที่บ้าน: เต็มไปด้วยสิ่งที่น่าสงสัย) และอย่าเล่นปาหี่กุญแจส่วนตัวเว้นแต่

XRPL ออกแพทช์วีรบุรุษ

เพื่อไม่ให้พ่ายแพ้โดย Digital Miscreants, XRP Ledger Foundation กลิ้งแขนเสื้อของพวกเขาและปล่อยแพ็คเกจ NPM เวอร์ชันที่สะอาดสะอ้านเพื่อขัดกับรหัสที่เป็นอันตรายที่น่ารำคาญ นักพัฒนาสามารถกลับไปสร้างได้โดยไม่เสี่ยงกับกระเป๋าเงินของพวกเขาหายไปในอีเธอร์ดิจิตอล

วายร้ายถูกจับได้อย่างไร? ระบบอัตโนมัติของ Aikido Security ได้ทำการอัปเดต Maverick ที่น่าสงสัยที่โพสต์โดยผู้ใช้ชื่อ“ Mukulljangid” – ชื่อที่ฟังดูเหมือนจาม – ไปยังแพ็คเกจ XRPL ใน NPM ความโกลาหลห้าเวอร์ชันมาถึงไม่มีการจับคู่การเปิดตัวอย่างเป็นทางการพิสูจน์อีกครั้งว่าถ้ามันดูเหมือนแพทช์ แต่ quacks เหมือนแบ็คดอร์มันอาจเป็นข่าวร้าย

เคล็ดลับที่น่ารังเกียจปลอมตัวอย่างชาญฉลาดภายใต้ฟังก์ชั่น checkValidityOfseed ส่งคีย์ส่วนตัวตรงไปยังถ้ำของแฮ็กเกอร์ทำให้พวกเขาสามารถฉกฉวยได้เร็วกว่าที่คุณพูดได้ว่า “blockchains และ bandits” รหัสต้นซ่อนอยู่ในจาวาสคริปต์ที่รวบรวมเช่นสายลับเจ้าเล่ห์รุ่นต่อมาก็ขี้เกียจและฝังบิตที่เป็นอันตรายโดยตรงในแหล่ง TypeScript พวกเขายังไปไกลถึงการลบเครื่องมือที่ดีเช่นสวยกว่าออกจากแพ็คเกจเพื่อให้แน่ใจว่าไม่มีใครจัดระเบียบระเบียบของพวกเขา

ธุรกิจเสื้อคลุมและกริชทั้งหมดนี้เกิดขึ้นเพียงไม่กี่สัปดาห์หลังจาก Ripple ประกาศ Mammoth มูลค่า 1.25 พันล้านเหรียญสหรัฐในการซื้อ บริษัท นายหน้าซื้อขายหลักทรัพย์ชั้นนำ Hidden Road ผู้เชี่ยวชาญกล่าวว่าการเคลื่อนไหวครั้งนี้จะเปลี่ยน XRPL ให้กลายเป็นทางการเงินทางการเงินที่คึกคักด้วยกองทุนสถาบันซึ่งหวังว่าจะได้รับการปกป้องด้วยรหัสส่อเสียดน้อยลงในครั้งต่อไป

Brad Garlinghouse ซีอีโอของ Ripple ความฝันในอนาคตที่เครือข่ายจัดการการตั้งถิ่นฐานหลังการค้าที่น่าเบื่อเช่นหุ่นยนต์องค์กรที่มีความอุดมสมบูรณ์เปลี่ยน Wild West ของ Cryptoland ให้กลายเป็นสถานที่ที่มีอารยธรรมเล็กน้อย

ดังนั้นนักพัฒนาที่รักและนักผจญภัย crypto ให้รักษาปัญญาของคุณเกี่ยวกับคุณ blockchain อาจมีความโปร่งใส แต่กลอุบายที่แขนบางส่วนนั้นส่อเสียดเหมือนนกกอบลินที่มีความทะเยอทะยานล้วงกระเป๋า

2025-04-23 21:45