XRP Ledger: Cách một Lỗ hổng Mã nguồn Suýt Nữa Phá hỏng Mọi thứ

Chuyện gì đã xảy ra: Vào tháng 4 năm 2023, thư viện xrpl.js (công cụ để tương tác với XRP Ledger) đã có một lỗ hổng bảo mật cực lớn. Kẻ tấn công có thể chèn mã độc để đánh cắp khóa riêng tư trực tiếp từ các ví. Quỹ XRP Ledger đã hành động rất nhanh: vá lỗi trong 48 giờ, xóa các phiên bản bị ảnh hưởng khỏi NPM và làm việc với các nhà phát triển để buộc cập nhật.

Chúng ta học được gì?

Đây là một cuộc tấn công chuỗi cung ứng kinh điển: họ nhắm vào các thư viện mã nguồn mở vì nó ảnh hưởng đến hàng trăm dự án. Aikido Security đã phát hiện năm bản cập nhật gói đáng ngờ (đó mới thực sự là công việc thám tử).

Những ông lớn như Xaman Wallet và XRPScan không bị ảnh hưởng vì họ dùng phiên bản cũ hơn hoặc hạ tầng riêng. Bài học rút ra: hãy đa dạng hóa công cụ của bạn.

Dành cho devs: Kiểm toán thường xuyên là điều bắt buộc, kiểm tra tính toàn vẹn của các phụ thuộc trước khi cài đặt, và nên tham gia các cộng đồng bảo mật. Một lỗ hổng được phát hiện hôm nay có thể là cơn ác mộng của bạn vào ngày mai.

Điều thú vị: Giá XRP không sụp đổ. Thị trường tin tưởng Quỹ sẽ xử lý tốt khủng hoảng (và họ đã đúng). Điều đó nói lên sự kiên cường của hệ sinh thái.