Dalam versi terbaru dari pustaka pengembangan JavaScript XRP Ledger, ditemukan kerentanan perangkat lunak yang serius dan telah memicu alarm di seluruh komunitas pengembang kripto.
Yayasan XRP Ledger mengumumkan bahwa ada kerentanan pada beberapa versi paket xrpl JavaScript, yang merupakan kit pengembangan perangkat lunak yang umum digunakan untuk berinteraksi dengan XRP Ledger.
Menurut yayasan, ini terdeteksi oleh Charlie Eriksen, seorang peneliti malware di Aikido Security, yang menggambarkan masalah tersebut sebagai serangan rantai pasokan "potensial merusak".
Eriksen memperingatkan, "Kerentanan ini dapat memungkinkan pihak jahat untuk mencuri kunci pribadi pengguna dan memberikan akses tidak sah ke dompet," tetapi tetap tidak jelas apakah ada pengguna yang terpengaruh secara langsung.
Versi yang terpengaruh mencakup versi dari v4.2.1 hingga v4.2.4 dan v2.14.2. Tim teknik XRP Ledger telah merilis versi v4.2.5 yang membatalkan paket yang telah dilanggar keamanannya sejak saat itu. Pengguna dan pengembang yang mengandalkan versi yang terpengaruh sangat disarankan untuk segera melakukan pembaruan.
Yayasan tersebut mengatakan dalam pernyataan tindak lanjut yang dibuat melalui media sosial:
"Untuk menjelaskan: Kerentanan ini terdapat pada xrpl.js, sebuah pustaka JavaScript untuk berinteraksi dengan XRP Ledger. Ini tidak mempengaruhi basis kode XRP Ledger atau repositori GitHub itu sendiri."
Kode berbahaya tampaknya diperkenalkan melalui Node Package Manager (NPM), yang merupakan platform umum untuk berbagi paket JavaScript. Proyek-proyek seperti Xaman Wallet dan XRPScan mengonfirmasi bahwa layanan mereka kemungkinan tidak terpengaruh karena mereka tidak mengadopsi versi yang terancam.
Yayasan XRP Ledger menyatakan bahwa laporan post-mortem lengkap akan diterbitkan ketika lebih banyak informasi tentang bagaimana backdoor digunakan diperoleh.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Yayasan XRP mengumumkan kerentanan keamanan yang dapat mengakibatkan pencurian Holding pengguna: "Harus segera diperbarui"
Dalam versi terbaru dari pustaka pengembangan JavaScript XRP Ledger, ditemukan kerentanan perangkat lunak yang serius dan telah memicu alarm di seluruh komunitas pengembang kripto.
Yayasan XRP Ledger mengumumkan bahwa ada kerentanan pada beberapa versi paket xrpl JavaScript, yang merupakan kit pengembangan perangkat lunak yang umum digunakan untuk berinteraksi dengan XRP Ledger.
Menurut yayasan, ini terdeteksi oleh Charlie Eriksen, seorang peneliti malware di Aikido Security, yang menggambarkan masalah tersebut sebagai serangan rantai pasokan "potensial merusak".
Eriksen memperingatkan, "Kerentanan ini dapat memungkinkan pihak jahat untuk mencuri kunci pribadi pengguna dan memberikan akses tidak sah ke dompet," tetapi tetap tidak jelas apakah ada pengguna yang terpengaruh secara langsung.
Versi yang terpengaruh mencakup versi dari v4.2.1 hingga v4.2.4 dan v2.14.2. Tim teknik XRP Ledger telah merilis versi v4.2.5 yang membatalkan paket yang telah dilanggar keamanannya sejak saat itu. Pengguna dan pengembang yang mengandalkan versi yang terpengaruh sangat disarankan untuk segera melakukan pembaruan.
Yayasan tersebut mengatakan dalam pernyataan tindak lanjut yang dibuat melalui media sosial:
"Untuk menjelaskan: Kerentanan ini terdapat pada xrpl.js, sebuah pustaka JavaScript untuk berinteraksi dengan XRP Ledger. Ini tidak mempengaruhi basis kode XRP Ledger atau repositori GitHub itu sendiri."
Kode berbahaya tampaknya diperkenalkan melalui Node Package Manager (NPM), yang merupakan platform umum untuk berbagi paket JavaScript. Proyek-proyek seperti Xaman Wallet dan XRPScan mengonfirmasi bahwa layanan mereka kemungkinan tidak terpengaruh karena mereka tidak mengadopsi versi yang terancam.
Yayasan XRP Ledger menyatakan bahwa laporan post-mortem lengkap akan diterbitkan ketika lebih banyak informasi tentang bagaimana backdoor digunakan diperoleh.