週一,當黑客入侵了Ripple官方的XRP Ledger JavaScript庫,植入旨在竊取私匙和錢包認證的惡意程式碼時,數以千計的加密貨幣錢包陷入危險。
必須知道的重點:
- 資安研究人員在東部時間週一下午4:46到5:49之間偵測到xrpl.js庫被插入未經授權的程式碼
- 惡意代碼可以將錢包種子及私匙傳送到由攻擊者控制的伺服器
- 主要XRP項目表示平台依然安全,但下載受影響版本的用戶應立即轉移資產
資安漏洞詳情
由專注於加密貨幣的資安公司Aikido發現該漏洞,研究人員於官方Node Package Manager發佈的xrpl.js中識別到可疑程式碼。
在那一小時內上傳至NPM註冊表的多個版本,包含具備竊取用戶錢包功能的後門。
資安專家Charlie Eriksen形容這宗攻擊為加密行業供應鏈極高風險的事件。受污染的程式包可以竊取敏感錢包資料,並直接傳輸至攻擊者手中。黑客由此能直接接管錢包,並未經授權地盜取資產。
Eriksen在資安公告中建議:「如果你懷疑與受感染的代碼有互動,請假設你的錢包私匙已外洩。所有受影響的私匙必須作廢,資產應即時轉移到新錢包。」
根據資安專家,漏洞只影響在周一短暫曝光窗口內,有下載或整合受污染版本的服務。那些在該時段未有更新依賴項的應用及項目,應該不受這次資安問題波及。
包括Xaman Wallet及XRPScan等多個知名XRP生態項目,已發聲明證實平台依然安全。然而,行內資安專家呼籲所有用戶及開發者提高警覺。
應對及補救措施
XRP Ledger基金會在發現漏洞後迅速作出反應。團隊於短時間內發佈了更新且安全的xrpl.js庫版本,有效地取代NPM上的惡意包。開發團隊強烈建議所有用戶和項目即時更新至最新安全版本,以防進一步被利用。
XRP Ledger基金會亦發聲明,會於內部資安調查完成後,公開詳細的後續分析。
預計該分析會進一步說明攻擊手法及日後如何預防同類事件。
同時,使用xrpl.js的開發者亦被強烈建議徹底檢查其程式庫,以識別是否曾受影響。這些緊急建議反映出漏洞的嚴重性。
由於xrpl.js在Ripple生態中的廣泛應用,此次事故格外受關注。作為XRP Ledger的官方JavaScript庫,軟件實現了關鍵錢包操作及代幣轉帳等多種功能,被大量應用和服務所採用。
根據報告,事發前一週該庫已被下載超過十四萬次,此軟件的高流行度反映了若惡意代碼未被及時發現,後果將更為嚴重。資安分析師指出,漏洞能夠迅速被發現,即時限制了事件進一步擴大。
這次資安事件是加密產業供應鏈攻擊案例的又一例證。這些攻擊利用了行業對廣泛使用的開源資源的高度依賴,一旦被入侵,將帶來重大財務損失。
總結
xrpl.js被入侵後迅速發現及應對,成功阻止了XRP生態可能的大規模損失。這事件再次警示加密基礎設施的資安問題,亦凸顯對開源庫持續監察的重要性。