XRP Ledger'in güncellenmiş JavaScript geliştirme kütüphanesinde ciddi bir yazılım açığı tespit edildi ve bu, kripto para geliştirici topluluğunda alarm yarattı.
XRP Ledger Foundation, XRP Ledger ile etkileşimde bulunmak için yaygın olarak kullanılan bir yazılım geliştirme aracı olan xrpl JavaScript paketinin birçok sürümünde bir güvenlik açığı bulunduğunu açıkladı.
Bu kuruluşa göre, bu güvenlik açığı, Aikido Security'de bir kötü amaçlı yazılım araştırmacısı olan Charlie Eriksen tarafından tespit edildi ve bu sorunu "yıkıcı potansiyele sahip" bir tedarik zinciri saldırısı olarak tanımladı.
Eriksen uyardı: "Bu güvenlik açığı kötü niyetli kişilerin kullanıcıların özel anahtarlarını çalmasına ve cüzdanlara izinsiz erişim sağlamasına olanak tanıyabilir," ancak doğrudan etkilenen kullanıcı olup olmadığı henüz net değil.
Etkilenen sürümler v4.2.1'den v4.2.4'e ve v2.14.2'ye kadar uzanmaktadır. XRP Ledger teknik ekibi, etkilenmiş paketleri devre dışı bırakan v4.2.5'i yayınladı. Etkilenen sürümlere dayanan kullanıcılar ve geliştiricilerin derhal güncellemeleri önerilmektedir.
Bu fon, sosyal medya üzerinden yaptığı bir sonraki açıklamada şöyle belirtti:
"Açıklığa kavuşturmak gerekirse: Bu güvenlik açığı xrpl.js kütüphanesinde yer alıyor, bu kütüphane XRP Ledger ile etkileşim için JavaScript kullanıyor. XRP Ledger'ın kod veritabanını veya GitHub deposunu etkilemiyor."
Kötü amaçlı yazılım, yaygın olarak JavaScript paketlerini paylaşmak için kullanılan Node Package Manager (NPM) aracılığıyla sisteme sızmış gibi görünüyor. Xaman Wallet ve XRPScan gibi projeler, etkilenen sürümleri kullanmadıkları için hizmetlerinin etkilenme olasılığının düşük olduğunu doğruladılar.
XRP Ledger Foundation, olayla ilgili tam raporun daha fazla bilgi alındığında yayınlanacağını duyurdu.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
XRP Vakfı, Kullanıcı Varlıklarının Çalınmasına Neden Olabilecek Açıkla İlgili Bir Bildiri Yayınladı
XRP Ledger'in güncellenmiş JavaScript geliştirme kütüphanesinde ciddi bir yazılım açığı tespit edildi ve bu, kripto para geliştirici topluluğunda alarm yarattı. XRP Ledger Foundation, XRP Ledger ile etkileşimde bulunmak için yaygın olarak kullanılan bir yazılım geliştirme aracı olan xrpl JavaScript paketinin birçok sürümünde bir güvenlik açığı bulunduğunu açıkladı. Bu kuruluşa göre, bu güvenlik açığı, Aikido Security'de bir kötü amaçlı yazılım araştırmacısı olan Charlie Eriksen tarafından tespit edildi ve bu sorunu "yıkıcı potansiyele sahip" bir tedarik zinciri saldırısı olarak tanımladı. Eriksen uyardı: "Bu güvenlik açığı kötü niyetli kişilerin kullanıcıların özel anahtarlarını çalmasına ve cüzdanlara izinsiz erişim sağlamasına olanak tanıyabilir," ancak doğrudan etkilenen kullanıcı olup olmadığı henüz net değil. Etkilenen sürümler v4.2.1'den v4.2.4'e ve v2.14.2'ye kadar uzanmaktadır. XRP Ledger teknik ekibi, etkilenmiş paketleri devre dışı bırakan v4.2.5'i yayınladı. Etkilenen sürümlere dayanan kullanıcılar ve geliştiricilerin derhal güncellemeleri önerilmektedir. Bu fon, sosyal medya üzerinden yaptığı bir sonraki açıklamada şöyle belirtti: "Açıklığa kavuşturmak gerekirse: Bu güvenlik açığı xrpl.js kütüphanesinde yer alıyor, bu kütüphane XRP Ledger ile etkileşim için JavaScript kullanıyor. XRP Ledger'ın kod veritabanını veya GitHub deposunu etkilemiyor." Kötü amaçlı yazılım, yaygın olarak JavaScript paketlerini paylaşmak için kullanılan Node Package Manager (NPM) aracılığıyla sisteme sızmış gibi görünüyor. Xaman Wallet ve XRPScan gibi projeler, etkilenen sürümleri kullanmadıkları için hizmetlerinin etkilenme olasılığının düşük olduğunu doğruladılar. XRP Ledger Foundation, olayla ilgili tam raporun daha fazla bilgi alındığında yayınlanacağını duyurdu.