XRP LedgerのJavaScript開発ライブラリの最近更新されたバージョンで深刻なソフトウェアの脆弱性が発見され、暗号通貨開発者コミュニティ全体に警報が発令されました。
XRPレジャー財団は、XRPレジャーと相互作用するために一般的に使用されるソフトウェア開発キットであるxrpl JavaScriptパッケージの複数のバージョンに脆弱性が見つかったことを発表しました。
財団によると、この脆弱性は、Aikido Securityで悪意のあるソフトウェア研究者であるチャーリー・エリクセンによって発見され、「潜在的に破壊的な」サプライチェーン攻撃として特定されました。
エリクセンは、「このセキュリティホールは、悪意のある人物がユーザーのプライベートキーを盗んだり、ウォレットに不正アクセスすることを可能にするかもしれない」と警告しましたが、どのユーザーが直接影響を受けるかは不明なままです。
影響を受けたバージョンには、v4.2.1からv4.2.4およびv2.14.2までのバージョンが含まれています。XRP Ledgerエンジニアリングチームはそれ以来、セキュリティが侵害されたパッケージを無効にするv4.2.5バージョンをリリースしました。影響を受けたバージョンに依存しているユーザーと開発者は、直ちにアップデートを行うことを強く推奨されました。
財団は、ソーシャルメディアを通じて行ったフォローアップの発表で次のように述べました:
「明確にするために:この脆弱性は、XRP Ledgerとの対話のためのJavaScriptライブラリであるxrpl.jsに存在します。XRP LedgerのコードベースやGitHubリポジトリ自体には影響を与えていません。」
悪意のあるコードは、JavaScriptパッケージを共有するために一般的に使用されるプラットフォームであるNode Package Manager (NPM)を介して導入されたようです。Xaman WalletやXRPScanなどのプロジェクトは、危険にさらされたバージョンを採用していないため、サービスが影響を受ける可能性はないと確認しました。
XRPレジャー財団は、バックドアの使用方法に関するさらなる情報が得られた際に、事件に関する全てのポストモーテムを発表すると述べた。
