ريبل حددت هجومًا حرجًا على سلسلة التوريد في دفتر الأستاذ XRP. هذه الثغرة لا تؤثر على دفتر الأستاذ بالكامل، فقط محافظ DeFi التي تستخدم حزمة xrpl.js الرسمية من NPM (مدير حزم Node).
من غير الواضح كم من أموال المستخدمين تم اختراقها في هذا الهجوم المتطور، لكن ريبل تدعي أنها أوقفت الحزم المخترقة. لم تقم العديد من محافظ DeFi الرئيسية بتنزيل هذه الحزمة، ولم يتم الإبلاغ عن سرقات ضخمة حتى الآن.
خرق أمني في دفتر الأستاذ XRP
تم تحديد هذا الاختراق في XRPL لأول مرة بواسطة Aikido، وهي شركة أمن بلوكتشين. وجدت خمس تحديثات مشبوهة لحزمة xrpls.js على NPM الخاص بريبل.
هذه هي مجموعة أدوات تطوير البرمجيات الرسمية لريبل، والتي تتميز بأكثر من 140,000 تحميل أسبوعيًا. قام القراصنة بتثبيت باب خلفي متطور في هذه الحزمة، مما يمكنهم من سرقة المفاتيح الخاصة والوصول إلى المحافظ.
يمثل اختراق من هذا النوع تهديدًا خطيرًا لـ XRP، إلى الحد الذي قام فيه المدير التقني لريبل ديفيد شوارتز بنشر تحذيرات رسمية حوله. كما قام مايوكا فاداري، مهندس برمجيات كبير في الشركة، بتفصيل أكبر حول طبيعة هذه الثغرة.
في البداية، قد يبدو هذا كمسألة صغيرة، حيث أن الاختراق لم يضر مباشرة بـ دفتر الأستاذ XRP (XRPL). ومع ذلك، تم نشر هذا الاختراق عبر القنوات الرسمية لريبل، مما يعرض العديد من المستخدمين للخطر.
للحصول على فكرة عن الحجم، محافظ DeFi على XRPL تحتفظ حاليًا بحوالي 80 مليون دولار في ودائع المستخدمين. الوصول إلى جزء صغير من هذا المبلغ سيكون بالفعل سرقة ضخمة.
NPM هو نظام التوزيع، واختراق حزمة ذات ثقة عالية فيه يخلق وسيلة هجوم قوية - هجوم سلسلة التوريد يستهدف المطورين والبنية التحتية بدلاً من المستخدمين النهائيين مباشرة.
يمكن أن تؤثر حزمة NPM المخترقة على آلاف التطبيقات. عندما يقوم مهاجم بحقن كود ضار، مثل الباب الخلفي، في حزمة NPM شهيرة، فإن أي تطبيق أو مطور يقوم بتثبيت أو تحديث تلك الحزمة دون علمه يُدخل البرمجيات الخبيثة إلى بيئته الخاصة.
أكدت مؤسسة XRP Ledger أن العديد من محافظ DeFi الرئيسية لم تتعرض للخطر وذكرت أيضًا أنها أوقفت إصدارات xrpl.js المخترقة. كما تخطط لنشر تحليل كامل بعد الوفاة.
أيضًا، تمكن القراصنة من اختراق المكتبة الرسمية لبروتوكولات DeFi التي ترغب في التفاعل مع XRP. يمكن أن يكون لعملية معقدة كهذه عواقب.
إخلاء مسؤولية
جميع المعلومات المنشورة على موقعنا الإلكتروني تم عرضها على أساس حسن النية ولأغراض المعلومات العامة فقط. لذا، فأي إجراء أو تصرف أو قرار يقوم به القارئ وفقاً لهذه المعلومات يتحمل مسؤوليته وتوابعه بشكل فردي حصراً ولا يتحمل الموقع أية مسؤولية قانونية عن هذه القرارات.