Виявлено серйозну вразливість у бібліотеці JavaScript XRP Ledger – ForkLog UA
Фонд XRP Ledger Foundation виявив значну вразливість у бібліотеці JavaScript xrpl.js, яка полегшує взаємодію з мережею XRP Ledger.
Раніше сьогодні дослідник безпеки з @AikidoSecurity виявив критичну вразливість у пакеті xrpl npm (версії 4.2.1-4.2.4 і 2.14.2).
Ми знаємо про ситуацію та зараз працюємо над її вирішенням.
Буде проведено комплексний розтин.
— XRP Ledger Foundation (офіційно) (@XRPLF) 22 квітня 2025 р.
Про проблему виявила служба Aikido Security, яка попередила, що вразливість могла стати причиною широкомасштабного нападу на користувачів, надаючи зловмисникам можливість викрасти приватні ключі з криптогаманців.
Ця вразливість вплинула на версії xrpl.js v4.2.1–v4.2.4 і v2.14.2, випущені 21 квітня в екосистемі Node Package Manager (NPM). Було виявлено, що зловмисник впровадив шкідливий код, який передавав закриті ключі користувачів на зовнішній ресурс.
XRP Ledger Foundation негайно відкликав уражені версії та випустив безпечне оновлення v4.2.5, закликаючи всіх розробників оновити без зволікання. Фонд також пообіцяв опублікувати детальний звіт після завершення розслідування інциденту.
Дослідники з Aikido Security відзначили, що ця атака становила особливо високий ризик через широке використання бібліотеки xrpl.js, яку щотижня завантажують понад 140 000 разів.
Проекти, які використовують скомпрометовані версії, повинні терміново змінити свої закриті ключі та перемістити активи на нові безпечні гаманці.
Нагадаємо, 4 лютого мережа XRP Ledger відновила роботу після більш ніж годинного простою.
