In der großen Tradition von „Wer hat die Hintertür wieder geöffnet?“ Hat die XRP Ledger Foundation gerade angekündigt, dass sein offizieller JavaScript -SDK beschlossen hat, als Geheimagenten für Hacker zu mondlight. Ja, genau das, was mit dem XRPL spricht, hat Ihre privaten Schlüssel zu Fremden geflüstert.
An dem misstrauisch unglücklichen Tag des 21. April stießen einige digitale Bürgerwehr bei Aikido Security auf einen bösen kleinen Gremlin, der sich in mehreren Versionen des NPM -Pakets versteckte, das hinter dem unschuldigen Deckmantel von „Updates“, aber tatsächlich einen Hintertür über die Faster -Schlägerin fähig ist, als ein kalziniertes Schleifen abgeliefert.
Sicherheitsfehler im Entwickler -Kit (oder wie Sie Ihre privaten Schlüssel vor Ihrem Kaffee verlieren)
Die XRP Ledger Foundation hat keine Zeit für die Ausgabe einer Erklärung am 22. April verschwendet und bestätigt, dass ja, Leute, ihre geschätzten xrpl NPM -Paketversionen 4.2.1 bis 4.2.4 und 2.14.2 beeinträchtigt wurden. Denn natürlich ist die Lektion hier nie etwas mit einer Versionsnummer über 1.0.0.
Finger weg von langweiligen Regierungsdebatten! 😴 Hier gibt's nur heiße Krypto-News und Sarkasmus! 💥😎
👉Bereit für den Spaß? Klick auf "Beitreten"! 📲
„Früher hat ein Sicherheitsforscher von @aikidosecurity heute eine schwerwiegende Anfälligkeit im XRPL NPM -Paket identifiziert.“
In der Zwischenzeit sprang Wietse Wind – kein Verhältnis zur Brise, sondern genauso anhaltend – ein, um die gefransten Nerven zu beruhigen, indem er allen versichert hat, dass die Xaman -Brieftasche nicht der Schuldige sei. Seine Brieftasche tanzt schlau, indem er auf XRPL-Client und xrpl-accountlib stützt, die das Signaturgeschäft vom Chit-Chat getrennt halten und diesem düsteren Schema effektiv ausweichen.
Wietse erläuterte den Modus Operandi des Hackers: Subaily Sluting Code in xrpl.js, der private Schlüssel in einen kleinen Urlaub an eine verdächtige Adresse mit dem Namen 0x9c [.] Xyz gesendet hat. Die Bösewichte warten geduldig, bis die Brieftaschen voll gestopft sind, dann BAM – off mit Ihrer Krypto!
Wenn Sie in letzter Zeit mit der XRPL-API oder den zugehörigen Tools verwickelt haben, machen Sie die Erwachsene und gehen Sie davon aus, dass Ihre Brieftasche heute Morgen von den Hackern übertragen wurde. Zeit, Ihr Geld schneller zu packen und zu verschieben als Besen im Rennen einer Hexe.
Oh, und weil Entwickler es lieben, mit Feuer zu spielen, erinnerte Wietse alle: Es ist gelegentlich so, als würde man sich auf Bibliotheken von Drittanbietern verlassen, wie sie die Wölfe für das Hühnerhaus verantwortlich lassen. Um Ihre Finger weniger verbrannt zu halten, beschränken Sie, wer Code veröffentlichen kann, alles untersuchen, wie es Ihnen Geld schuldet, vermeiden Sie die Pipelines für automatische Veröffentlichungen (sie sind zu Hause wie diese eine Schublade: voll mit fragwürdigem Zeug) und jonglieren Sie nicht mit privaten Schlüsseln, es sei denn, Sie möchten einen Herzinfarkt als Hobby mögen.
XRPL gibt einen heroischen Patch aus
Um nicht von digitalen Missetätern übertroffen zu werden, rollte die XRP Ledger Foundation die Ärmel hoch und veröffentlichte eine quietschende Version des NPM-Pakets, um den lästigen böswilligen Code herauszuholen. Entwickler können jetzt wieder zum Gebäude zurückkehren, ohne dass ihre Brieftaschen im digitalen Äther verschwinden.
Wie wurde der Bösewicht gefangen? Das automatisierte System von Aikido Security schnüffelte die verdächtigen Maverick -Updates, die von einem Benutzer mit dem Namen „Mukulljangid“ – ein Name, der wie ein Niesen klingt – zum XRPL -Paket auf NPM gepostet. Fünf Versionen von Chaos kamen an, keiner entsprach den offiziellen Veröffentlichungen und beweist erneut, dass es wahrscheinlich schlechte Nachrichten sind, wenn es wie ein Patch, aber Quacksalber wie eine Hintertür aussieht.
Der böse Trick, der geschickt unter der Funktion checkvalityofsed getarnt wurde, schickte private Schlüssel direkt zum Hacker des Hackers, sodass sie Krypto schneller schnappen können, als Sie „Blockchains und Banditen“ sagen können. Früher Code versteckte sich im kompilierten JavaScript wie ein schlauer Spion, später wurden faul und haben die böswilligen Bits direkt in die TypeScript -Quelle eingebettet. Sie gingen sogar so weit, gute Werkzeuge wie schöner aus dem Paket zu entfernen, wahrscheinlich um sicherzustellen, dass niemand ihr Chaos aufgeräumt hat.
All dieses Umhang-und-Dolch-Geschäft geschieht nur wenige Wochen, nachdem Ripple ein Mammut 1,25 Milliarden US-Dollar für den Erwerb von Maklerunternehmen Hidden Road angekündigt hat. Experten sagen, dass dieser Schritt das XRPL bald in ein finanzielles Superhighway verwandeln wird, das mit institutionellen Fonds summt, das hoffentlich das nächste Mal von weniger hinterhältigem Code bewacht wird.
Brad Garlinghouse, CEO von Ripple, träumt von einer Zukunft, in der das Netzwerk die langweiligen Nachdämpfer wie einen gut geölten Firmenroboter umgeht und Cryptolands wildes Westen in einen etwas zivilisierteren Ort verwandelt (mit weniger Hacking hoffentlich).
Also, lieber Entwickler und Krypto -Abenteurer, behalten Sie Ihren Verstand über Sie. Die Blockchain mag transparent sein, aber die Tricks, einige Ärmel, sind so hinterhältig wie ein Goblin mit Taschendiebstahl. 🕵️eute
Weiterlesen
- Das überraschende Ende des Konklaves hat eine tiefere Bedeutung
- EY führt den auf Ethereum basierenden OpsChain Contract Manager für Geschäftsverträge ein
- Was ist Hyperliquid (HYPE): Der vollständige Leitfaden im Jahr 2025
- POKT Network erweitert den Zugriff auf Blockchain-Daten durch die Einführung von drei neuen Gateways
- Händler verdiente 23 Millionen US-Dollar mit dem Umdrehen von Solana-Meme-Münzen: Details
- Cameron Mathison verlässt wenige Stunden nach der Scheidung Neuigkeiten mit Aubree Knight
- Chinas größte Aktienfonds verfolgen Spot-Bitcoin-ETFs über Tochtergesellschaften in Hongkong: Bericht
- Bitcoins wilder Ritt um 70.000 US-Dollar, bevorstehender Konflikt zwischen Uniswap und SEC und mehr: Die Krypto-Zusammenfassung dieser Woche
- PUPS-Meme-Münzen steigen inmitten der Vorfreude auf das Runes-Protokoll
- Warum Nullflüsse für Spot-Bitcoin-ETFs nicht wirklich wichtig sind
2025-04-23 21:45