تم اكتشاف ثغرة برمجية خطيرة في الإصدار المحدث مؤخرًا من مكتبة تطوير JavaScript الخاصة بـ XRP Ledger، وتم إصدار إنذار في مجتمع مطوري العملات المشفرة بشكل عام.
أعلن صندوق XRP Ledger عن وجود ثغرة أمنية في عدة إصدارات من حزمة xrpl JavaScript، وهي مجموعة أدوات تطوير برمجيات تُستخدم بشكل شائع للتفاعل مع XRP Ledger.
وفقًا للوقف، تم اكتشاف هذا من قبل تشارلي إريكسن، الباحث في البرمجيات الخبيثة في Aikido Security، الذي وصف المشكلة بأنها "هجوم محتمل تدميري" على سلسلة التوريد.
أشار إريكسن إلى أن "هذا الثغرة الأمنية قد تتيح للأشخاص ذوي النوايا السيئة سرقة المفاتيح الخاصة للمستخدمين والوصول غير المصرح به إلى المحافظ"، لكنه يحافظ على غموض ما إذا كان أي مستخدم قد تأثر بشكل مباشر.
تشمل الإصدارات المتأثرة من v4.2.1 إلى v4.2.4 وإصدار v2.14.2. منذ ذلك الحين، أصدرت فريق هندسة دفتر أستاذ XRP إصدار v4.2.5 الذي يلغي الحزم المخترقة. يُنصح بشدة المستخدمين والمطورين الذين يعتمدون على الإصدارات المتأثرة بالتحديث على الفور.
قال الوقف في بيان المتابعة الذي قدمه عبر وسائل التواصل الاجتماعي ما يلي:
"لتوضيح الأمر: هذه الثغرة الأمنية موجودة في مكتبة جافا سكريبت المعروفة باسم xrpl.js والتي تتفاعل مع دفتر أستاذ XRP. لا تؤثر على قاعدة كود دفتر أستاذ XRP أو مستودع GitHub نفسه."
يبدو أن الشيفرة الضارة تم تقديمها من خلال منصة تُستخدم بشكل شائع لمشاركة حزم JavaScript، وهي مدير حزم Node (NPM). وقد أكدت مشاريع مثل Xaman Wallet و XRPScan أنها من المحتمل أنها لم تتأثر بخدماتها لأنها لم تعتمد الإصدارات المعرضة للخطر.
أعلن صندوق XRP Ledger أنه سيتم نشر تقرير شامل عن الحادث عندما يتم الحصول على مزيد من المعلومات حول كيفية استخدام الباب الخلفي.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
أعلن صندوق XRP عن ثغرة أمنية يمكن أن تؤدي إلى سرقة مقتنيات المستخدمين: "يجب تحديثها على الفور"
تم اكتشاف ثغرة برمجية خطيرة في الإصدار المحدث مؤخرًا من مكتبة تطوير JavaScript الخاصة بـ XRP Ledger، وتم إصدار إنذار في مجتمع مطوري العملات المشفرة بشكل عام.
أعلن صندوق XRP Ledger عن وجود ثغرة أمنية في عدة إصدارات من حزمة xrpl JavaScript، وهي مجموعة أدوات تطوير برمجيات تُستخدم بشكل شائع للتفاعل مع XRP Ledger.
وفقًا للوقف، تم اكتشاف هذا من قبل تشارلي إريكسن، الباحث في البرمجيات الخبيثة في Aikido Security، الذي وصف المشكلة بأنها "هجوم محتمل تدميري" على سلسلة التوريد.
أشار إريكسن إلى أن "هذا الثغرة الأمنية قد تتيح للأشخاص ذوي النوايا السيئة سرقة المفاتيح الخاصة للمستخدمين والوصول غير المصرح به إلى المحافظ"، لكنه يحافظ على غموض ما إذا كان أي مستخدم قد تأثر بشكل مباشر.
تشمل الإصدارات المتأثرة من v4.2.1 إلى v4.2.4 وإصدار v2.14.2. منذ ذلك الحين، أصدرت فريق هندسة دفتر أستاذ XRP إصدار v4.2.5 الذي يلغي الحزم المخترقة. يُنصح بشدة المستخدمين والمطورين الذين يعتمدون على الإصدارات المتأثرة بالتحديث على الفور.
قال الوقف في بيان المتابعة الذي قدمه عبر وسائل التواصل الاجتماعي ما يلي:
"لتوضيح الأمر: هذه الثغرة الأمنية موجودة في مكتبة جافا سكريبت المعروفة باسم xrpl.js والتي تتفاعل مع دفتر أستاذ XRP. لا تؤثر على قاعدة كود دفتر أستاذ XRP أو مستودع GitHub نفسه."
يبدو أن الشيفرة الضارة تم تقديمها من خلال منصة تُستخدم بشكل شائع لمشاركة حزم JavaScript، وهي مدير حزم Node (NPM). وقد أكدت مشاريع مثل Xaman Wallet و XRPScan أنها من المحتمل أنها لم تتأثر بخدماتها لأنها لم تعتمد الإصدارات المعرضة للخطر.
أعلن صندوق XRP Ledger أنه سيتم نشر تقرير شامل عن الحادث عندما يتم الحصول على مزيد من المعلومات حول كيفية استخدام الباب الخلفي.