В великой традиции вопроса ‘Кто снова оставил входную дверь открытой?’, фонд Ledger Foundation только что объявил, что его официальный SDK на JavaScript работал тайным агентом для хакеров. Да, тот самый инструмент, который взаимодействует с XRPL, шептал ваши приватные ключи незнакомцам.
В подозрительно несчастливый день 21 апреля некоторые цифровые сторожевые службы AiKid Security наткнулись на противного маленького гремлина, скрывающегося в нескольких версиях npm пакета, хитро упакованного под видом обновлений. На самом деле это был бэкдор, способный украсть ваши приватные ключи быстрее, чем кофеиновая обезьяна на роликовых коньках.
🚨 ТопМоб — твой радар в мире макроэкономики. Видим разворот — сигналим первым. Остальным остаётся догонять.
ТопМоб TelegramОшибка в безопасности набора разработчика (или как потерять свои личные ключи до выпивания кофе)
Фонд XRPL Ledger не потерял время и выпустил заявление от 22 апреля, подтвердив, что да, дорогие друзья, их заветный пакет npm xrp был взломан в версиях с «4.2.1 по 4.2.4» и «2.14.2». Потому что урок здесь заключается в том, чтобы никогда не доверять ничему выше версии 1.0.0.
Ранее сегодня исследователь безопасности из @AiKidoSecurity обнаружил серьезную уязвимость в пакете npm xrp.
Тем временем Витце Винд — не родственник бриза, но такой же настойчивый — вмешался, чтобы успокоить расшатанные нервы, уверяя всех, что Xaman Wallet не был виновником. Его кошелек мастерски танцует благодаря использованию xrp-client и xrp-accountlib, которые отделяют бизнес подписи от разговоров, успешно уклоняясь от этого коварного плана.
Витсе объяснил методы работы хакера: хитро спрятанный код был внедрен в xrpL.js, что привело к отправке приватных ключей на адрес 0x9c[.]xyz под видом небольшого отпуска. Злоумышленники терпеливо ждали, пока кошельки будут заполнены до отказа, после чего произошло опустошение криптокошельков!
Если вы недавно экспериментировали с XRPL API или подобными инструментами, сделайте взрослый выбор и предполагайте, что ваш кошелек сегодня утром вручили хакерам лично в руки. Время собрать вещи и перевести средства быстрее чем метлы на ведьминском забеге.
Ох, и поскольку разработчики любят играть с огнем, Виеце напомнил всем: полагаться на сторонние библиотеки иногда как доверить волкам куриный двор. Чтобы меньше обжигать пальцы, ограничьте доступ к публикации кода, проверяйте все так, словно оно должно вам денег, избегайте автоматических конвейеров публикаций (они как тот ящик дома: полный сомнительных вещей), и не жонглируйте приватными ключами без риска получить инфаркт.
XRPL выпускает героическое исправление
Не желая уступить место цифровым злоумышленникам, Ledger Foundation XRPL закатали рукава и выпустили безупречную версию npm-пакета, тщательно удалив вредоносный код. Разработчики теперь могут вернуться к разработке без риска исчезновения своих кошельков в цифровой пустоте.
Как был пойман злодей? Автоматизированная система безопасности AiKidod засекла подозрительные обновления Maverick от пользователя под именем «mukullljangid», которое похоже на чихание, в пакете XRPL на npm. Пришли пять версий хаоса, ни одна из которых не совпадала с официальными релизами, подтверждая еще раз принцип: если выглядит как патч, но ведет себя как бэкдор, скорее всего это плохие новости.
Мерзкий трюк, искусно замаскированный под функцию checkValidityOfSeed, передал приватные ключи прямо в логово хакера, позволяя ему красть криптовалюту быстрее, чем вы успеете произнести ‘Блокчейны и бандиты’. Ранние версии кода скрывались внутри скомпилированного JavaScript, как ловкий шпион, а более поздние стали ленивыми и просто встраивали вредоносные части непосредственно в источник TypeScript. Они даже зашли так далеко, что удалили полезные инструменты вроде Prettier из пакета, вероятно, чтобы никто не убирал их беспорядок.
Весь этот тайный бизнес происходит спустя всего несколько недель после того, как Ripple объявила о колоссальном инвестировании в 1.25 миллиарда долларов на приобретение основной брокерской фирмы HiDeen Road. Эксперты считают, что этот шаг вскоре превратит XRPL в финансовую супермагистраль, полную институциональных средств, которые, мы надеемся, будут защищены менее хитроумным кодом в следующий раз.
Брэд Гэлингхаус, CEO Ripple, мечтает о будущем, где сеть справляется с рутинными постторговыми расчётами, как хорошо отлаженный корпоративный робот, превращая криптолендию в чуть более цивилизованное место (по крайней мере, с меньшим количеством хакерских атак).
Так что же, дорогой разработчик и крипто-авантюрист, сохраняйте голову холодной! Блокчейн может быть прозрачным, но уловки за спиной столь же хитры, как гоблин с карманными амбициями. ️♂️
Смотрите также
- Курс доллара к шекелю прогноз
- Золото прогноз
- Крах акций и неожиданный взлёт юаня: что ждать от рынков после майских праздников? — Финансовый разбор от 3 мая 2025
- Курс доллара прогноз
- ЛУКОЙЛ акции прогноз. Цена LKOH
- Курс доллара к бату прогноз
- Яковлев акции прогноз. Цена IRKT
- Газпром акции прогноз. Цена GAZP
- Полюс акции прогноз. Цена PLZL
- Анализ цен на криптовалюту SOL: прогнозы Solana
2025-04-23 21:45