Фонд XRP Ledger повідомив про виявлення серйозної вразливості в JavaScript-бібліотеці xrpl.js, яка використовується для взаємодії з мережею XRP Ledger.
Earlier today, a security researcher from @AikidoSecurity identified a serious vulnerability in the xrpl npm package (v4.2.1-4.2.4 and v2.14.2).
We are aware of the issue and are actively working on a fix.
A detailed post-mortem will follow.
— XRP Ledger Foundation (Official) (@XRPLF) April 22, 2025
Цю проблему виявила компанія Aikido Security, яка попередила, що вразливість може призвести до масованої атаки на користувачів, дозволяючи зловмисникам викрадати приватні ключі криптовалютних гаманців.
Вразливість стосується версій xrpl.js з v4.2.1 по v4.2.4 та v2.14.2, які були опубліковані 21 квітня в системі Node Package Manager (NPM). Як з’ясувалося, зловмисник вставив шкідливий код, що надсилав приватні ключі користувачів на зовнішній сервер.
Фонд XRP Ledger терміново відкликав скомпрометовані версії та випустив безпечне оновлення v4.2.5, закликавши всіх розробників терміново перейти на неї. Фонд також пообіцяв надати детальний звіт після завершення розслідування інциденту.
Згідно зі словами дослідників Aikido Security, ця атака була особливо небезпечною через популярність бібліотеки xrpl.js, яка щотижня отримує більше 140 тисяч завантажень.
Проекти, що використовували вразливі версії, повинні терміново змінити свої приватні ключі та перенести активи на нові, захищені гаманці.
Нагадаємо, що 4 лютого мережа XRP Ledger відновила свою роботу після більш ніж годинного збою.
Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *
Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються дані ваших коментарів.
Американський суд визнав генерального директора DeFi-проєкту SafeMoon Брейдена Джона Кароні винним…
Ціна найпершої криптовалюти досягла нового ATH — $111 880 у парі…
Зловмисник, який має відношення до крадіжки та витоку особистих даних користувачів…
У першому кварталі 2025 року державні органи збільшили свої інвестиції в…
Користувачі з України отримали можливість використовувати функцію AI Overviews у пошуковій…
Американця Джейкоба Ірвіна-Клайна викрав і пограбував фейковий водій Uber, який, за…
Інвестиційна компанія Strive Asset Management, що асоціюється з Вівеком Рамасвамі, планує…
Компанія Animoca Brands оголосила про стратегічне партнерство з Astar Network та…