XRP LedgerのJavaScript開発ライブラリの最近のアップデートに深刻なソフトウェアの脆弱性が発見され、暗号通貨開発者コミュニティに警鐘が鳴らされています。 XRP Ledger Foundationは、XRP Ledgerと対話するために広く使用されているソフトウェア開発ツールキットであるJavaScript xrplパッケージの多くのバージョンに脆弱性が発見されたことを明らかにしました。 この組織によると、このセキュリティホールはAikido Securityのマルウェア研究者であるチャーリー・エリクセンによって発見され、彼はこの問題を「壊滅的な可能性を持つ」サプライチェーン攻撃と説明しています。 エリクセンは警告する: “このセキュリティホールは悪意のある者がユーザーのプライベートキーを盗み、不正にウォレットにアクセスすることを可能にするかもしれません” ただし、直接影響を受けたユーザーがいるかどうかはまだ不明です。 影響を受けたバージョンはv4.2.1からv4.2.4およびv2.14.2です。XRP Ledgerの技術チームはv4.2.5をリリースし、侵害されたパッケージを無効にしました。影響を受けたバージョンに基づいているユーザーおよび開発者は、直ちにアップデートすることを推奨します。 このファンドは、次のようにソーシャルメディアで声明を発表しました: 「明確にするために:この脆弱性はxrpl.jsにあり、XRP Ledgerと対話するためのJavaScriptライブラリです。XRP LedgerのコードベースやGitHubリポジトリには影響を与えません。」 マルウェアは、広く使用されているJavaScriptパッケージを共有するためのプラットフォームであるNode Package Manager (NPM)を通じて導入されたようです。Xaman WalletやXRPScanのようなプロジェクトは、侵害されたバージョンを採用していないため、サービスが影響を受ける可能性がないことを確認しました。 XRPレジャーファンデーションは、バックドアの悪用方法に関する追加情報が得られ次第、事件についての完全な報告書を発表することを発表しました。
