Наскоро XRP се сблъска с един от най-сериозните си инциденти със сигурността досега – supply chain атака, засегнала JavaScript библиотеката xrpl.js, част от XRP Ledger екосистемата. Пробивът доведе до изтичане на частни ключове и постави под въпрос сигурността на крипто потребителите и разработчиците.
Какво се случи? – Supply Chain атака през npm
Сигналът беше подаден от Aikido Security и официално потвърден от CTO на Ripple – Дейвид Шварц. Атаката е осъществена чрез компрометирана npm библиотека xrpl.js, използвана от много проекти, свързани с XRP Ledger.
Засегнатите версии са:
- 4.2.1, 4.2.2, 4.2.3, 4.2.4
- 2.14.2
Коригирани версии: 4.2.5 и 2.14.3
Въпреки инцидента, Xaman Wallet и XRPScan потвърдиха, че не са били засегнати, тъй като не използват уязвимите версии.
Кой стои зад атаката?
Потребител с псевдоним „mukulljangid“ е инжектирал зловреден код в xrpl.js на 21 април 2025 г., като е добавил нова функция, която краде частни ключове и ги изпраща към външен домейн.
Хакерът е получил достъп чрез компрометиран акаунт на Ripple служител в npm. Интересното е, че няма следи от backdoor код в официалното GitHub хранилище, което означава, че атаката е изцяло насочена към npm дистрибуцията.
Липса на PGP подписване – пропуск с последствия
Биткойн разработчикът Питър Тод припомни, че още преди 10 години е предупредил Ripple за липса на PGP подписване на техния код – стандартна практика за проверка на автентичност.
Той коментира:
Вместо да предотвратят това с PGP сигнатури, Ripple останаха уязвими. Цялата индустрия страда от подобна некомпетентност.
В същото време Тод призна, че и неговата Python библиотека вече не ползва PGP подписване заради промени в PyPi.
Какво казва XRP Ledger Foundation?
Фондацията потвърди, че всички компрометирани версии са премахнати от npm и издаде спешна препоръка към разработчиците:
Използвайте само версии 4.2.5 или 2.14.3. Подготвяме подробен доклад.
Заключение:
Инцидентът с xrpl.js подчертава уязвимостта на крипто индустрията, когато става дума за софтуерна сигурност и доверие в инструментите с отворен код. Дори големи проекти като XRP не са застраховани от supply chain атаки. За потребителите и разработчиците – това е важно напомняне да:
- проверяват версиите, които използват
- следят официалните канали за сигурност
- настояват за индустриални стандарти като PGP подписван
Често задавани въпроси
Намерете отговори на най-често задаваните въпроси по-долу.
xrpl.js – JavaScript библиотека за работа с XRP Ledger, разпространявана през npm.
Хакер инжектира код, който краде частни ключове и ги изпраща към външен сървър.
4.2.1 до 4.2.4 и 2.14.2. Безопасни са 4.2.5 и 2.14.3.
Големи услуги като Xaman и XRPScan не са засегнати. За други – засега няма публична информация.
Незабавно да преминеш към безопасните версии: 4.2.5 или 2.14.3.
Тази статия е с обща информационна цел и не е предназначена и не трябва да се възприема като правен или инвестиционен съвет.
