Ah, thế giới ngọt ngào, thoải mái của tiền điện tử, nơi mà sự tin tưởng cũng mong manh như một ngôi nhà của những tấm thiệp trong cơn bão. Và bây giờ, giống như mọi thứ bắt đầu có vẻ dễ đoán, cộng đồng Sổ cái XRP (XRPL) thấy mình đang bị náo động. Một lỗ bảo mật có kích thước của một miệng núi lửa nhỏ đã mở trong gói NPM chính thức của XRPL. Vâng, bạn đã nghe nó đúng, một cửa sau. Các nhà phát triển và người dùng cũng đang nắm lấy ví của họ trong hoảng loạn, hy vọng của họ đã tan vỡ. Chìa khóa riêng có thể bị vuốt, tiền biến mất như sương mù dưới ánh mặt trời buổi sáng. Một tình huống tinh tế, để nói rằng ít nhất.
Ồ, thật bất ngờ: Backdoor được phát hiện trong thư viện xrpl.js
Theo các thầy phù thủy an ninh mạng tại Aikido Security, một cửa hậu độc hại đã được tìm thấy trong Thư viện XRPL.js Một công cụ hoàn toàn quan trọng cho các nhà phát triển xây dựng trên sổ cái XRP. Giữa các phiên bản 4.2.1 và 4.2.4, thư viện đã được bí mật xâm phạm, rò rỉ các khóa riêng cho bất kỳ ai có ý định xấu. Và, tất nhiên, khám phá thú vị này đã được công khai vào ngày 22 tháng 4, vì ai không yêu thích một lượng hỗn loạn mới vào đầu tuần?
Aikido đã chia sẻ tin tức với thế giới thông qua phương tiện truyền thông xã hội, đăng một ảnh chụp màn hình cho thấy một phần của mã độc được đặt trong một tập tin đáng ngại có tên là “Striptest mới (). Bạn không cần phải là một thiên tài để xem nơi này sẽ đi. Nó được thiết kế đặc biệt để thu hoạch thông tin nhạy cảm lén lút từ những người dùng và nhà phát triển không nghi ngờ. Một hành vi trộm cắp yên tĩnh trong cái chết của đêm, hoặc, có lẽ, dưới ánh sáng ban ngày, người phải nói?
Thế giới tiền điện tử, một cách tự nhiên, bị ném vào một cơn điên cuồng. Mọi nhà phát triển và người dùng đều dựa vào các phiên bản bị xâm phạm của thư viện ngay lập tức được khuyên nên hạ cấp, như một bệnh nhân tuyệt vọng tìm cách chữa bệnh cho một căn bệnh đột ngột, không thể giải thích được. Aikido cũng đã đưa ra cảnh báo cho những người vẫn đang chạy các phiên bản cũ hơn của thư viện: ‘Don lồng nâng cấp! Vì tình yêu của tất cả mọi thứ thiêng liêng, đừng! Vì ai muốn mời thảm họa vào cuộc sống của họ?
Thư viện trong câu hỏi nằm trên nền tảng NPM, có nghĩa là nó được sử dụng xa và rộng trên các ứng dụng tiền điện tử khác nhau. Nhưng đừng lo lắng, Aikido đảm bảo với chúng tôi rằng bản thân sổ cái XRP vẫn không bị ảnh hưởng bởi thảm họa này. Tuy nhiên, cộng đồng còn lại tự hỏi có bao nhiêu dự án ngoài đó vô tình phơi bày người dùng của họ trước nguy cơ trộm cắp dữ liệu. Sự hồi hộp là không thể chịu đựng được, phải không?
Và, khi bài đăng từ Aikido Security đã đạt được hơn 146.000 lượt xem chỉ trong vài giờ, người ta có thể nghĩ rằng những người đam mê tiền điện tử và các nhà phát triển đã bắt đầu kiểm tra các phiên bản XRPL.js của riêng họ … nhưng tôi đang đùa ai? Đây là tiền điện tử, sau tất cả.
Đối với những người giữ điểm, đây chỉ là một lỗ hổng khác trong một năm mà Lọ đã thấy một số vi phạm bảo mật tưới mắt. Gần đây, Unilend Finance đã có một cú đánh 197.000 đô la do lỗ hổng tính toán mã thông báo tài sản thế chấp. Nó luôn luôn là một cái gì đó, phải không?
Hãy yên tâm, ví XRPSCAN và XAMAN là (rõ ràng) an toàn
Nhưng đừng sợ, các nhà thám hiểm tiền điện tử thân mến! Nếu bạn đã sử dụng XRPSCAN, các khóa riêng tư quý giá của bạn là an toàn cho bây giờ. Những người tốt tại XRPSCAN, trong một động thái kịp thời, đã nói rõ rằng nền tảng của họ miễn dịch với lỗ hổng XRPL.js. Tại sao? Bởi vì họ không xử lý các khóa riêng và sử dụng một phiên bản của thư viện không bị ảnh hưởng bởi cửa sau này. Một chút thở phào nhẹ nhõm, có lẽ? Tôi sẽ đặt cược cho tài sản của mình vào nó, nhưng nó có một cái gì đó.
XRPSCAN an toàn trước lỗ hổng chuỗi cung cấp XRPL.JS này. Chúng tôi không xử lý các khóa riêng và sử dụng phiên bản XRPL.JS. Đối với các dự án sử dụng xrpl.js, chúng tôi khuyên bạn nên kiểm tra gấp đôi các phiên bản thư viện càng sớm càng tốt, đặc biệt nếu bất kỳ bản cập nhật nào được thực hiện gần đây.
– Xrpscan (@xrpscan) ngày 22 tháng 4 năm 2025
Và vì vậy, với một cái gật đầu hiền triết, XRPSCAN kêu gọi các nhà phát triển ở khắp mọi nơi để có một cái nhìn dài, khó khăn về mã và sự phụ thuộc của họ. Không có hòn đá nào được bỏ qua, đặc biệt nếu gần đây họ đã chấp nhận một bản cập nhật. An toàn tốt hơn xin lỗi, hả?
Trong khi đó, nhóm không bao giờ là người đứng sau ví Xaman cũng được đưa vào, xác nhận rằng các hệ thống của họ không có lỗ hổng đặc biệt này. Xaman, dường như, giữ cho mọi thứ gần gũi với các phím bảo vệ ngực được quản lý bằng cách sử dụng các hệ thống an toàn của riêng họ, giữ cho người dùng của họ được bảo vệ khỏi bộ phim không mong muốn này. Thật kỳ lạ! Trong khi phần còn lại của thế giới hoảng loạn, Xaman ngồi thoải mái trong bong bóng an toàn của họ.
Toàn bộ sự kiện này đóng vai trò là một lời nhắc nhở kịp thời cho thế giới tiền điện tử: Không bao giờ, bao giờ, tin tưởng một công cụ của bên thứ ba mà không cần xem xét cẩn thận. Bởi vì nếu bạn làm, tốt, đây là những gì bạn nhận được một câu chuyện cảnh báo về hành vi trộm cắp và phản bội. Nó gần như thơ mộng. Và nếu bạn đang tự hỏi liệu tình hình có trở nên tốt hơn hay không, hãy xem xét điều này: Bybit, sau một vụ hack hồi đầu năm nay, đã thực hiện một nhiệm vụ để tăng cường an ninh của nó. Họ thậm chí còn hợp tác với Zodia Custody, bởi vì, như họ nói, một lần bị cắn, hai lần nhút nhát. Ah, sự trớ trêu. Nó không bao giờ kết thúc.
- Công ty thanh toán tiền điện tử Hồng Kông Redotpay kết thúc $ 40M Series A Funding Round
- Tại sao giá Cardano (ADA) Giảm Hôm Nay?
- ETH trong khủng hoảng ?! L2S đánh cắp tất cả sự lấp lánh ✨
- Crypto Chaos: Luật mới tuyên chiến với các trung tâm dữ liệu AI! 💥
- Pi’s Pifest: Một lễ hội vô ích?
- Những tiết lộ táo bạo trong tiền điện tử: Một mối tình lãng mạn tò mò về lợi ích và bất chợt! 😊
- Crypto’s Wild Ride: Những gì bạn cần biết trước năm 2025!
- Bitcoin Dodges Bullet thuế, nhưng không phải là sự sụt giảm thị trường 😵
- Mở khóa mã thông báo Trump Trump: Đây có phải là ngày tận thế tiền điện tử không?
- Mở khóa bí mật của EVM mới của Injective!
2025-04-22 20:10