Ripple ได้ระบุการโจมตีซัพพลายเชนที่สำคัญบน XRP Ledger ช่องโหว่นี้ไม่ส่งผลกระทบต่อ Ledger ทั้งหมด แต่เฉพาะกระเป๋าเงิน DeFi ที่ใช้แพ็กเกจ xrpl.js อย่างเป็นทางการจาก NPM (Node Package Manager) เท่านั้น
ยังไม่ชัดเจนว่ามีเงินของผู้ใช้ถูกโจมตีไปเท่าไรในเหตุการณ์นี้ แต่ Ripple อ้างว่าได้ยกเลิกแพ็กเกจที่ถูกโจมตีแล้ว กระเป๋าเงิน DeFi หลายแห่งไม่ได้ดาวน์โหลดแพ็กเกจนี้ และยังไม่มีรายงานการโจรกรรมขนาดใหญ่
การละเมิดความปลอดภัยบน XRP Ledger
การละเมิด XRPL นี้ถูก ระบุ โดย Aikido ซึ่งเป็น บริษัทความปลอดภัยบล็อกเชน พบการอัปเดตที่น่าสงสัยห้าครั้งในแพ็กเกจ xrpls.js บน NPM ของ Ripple
นี่คือชุดพัฒนาซอฟต์แวร์อย่างเป็นทางการของ Ripple ที่มีการดาวน์โหลดมากกว่า 140,000 ครั้งต่อสัปดาห์ แฮกเกอร์ได้ติดตั้งช่องทางลับที่ซับซ้อนในแพ็กเกจนี้ ทำให้สามารถขโมยกุญแจส่วนตัวและเข้าถึงกระเป๋าเงินได้
การละเมิดในลักษณะนี้เป็นภัยคุกคามร้ายแรงต่อ XRP ถึงขนาดที่ David Schwartz CTO ของ Ripple ได้ โพสต์ คำเตือนอย่างเป็นทางการเกี่ยวกับเรื่องนี้ Mayukha Vadari วิศวกรซอฟต์แวร์อาวุโสของบริษัทก็ได้อธิบาย รายละเอียดเพิ่มเติมเกี่ยวกับลักษณะของช่องโหว่นี้
ในตอนแรกอาจดูเหมือนเป็นปัญหาเล็กน้อย เนื่องจากการละเมิดไม่ได้ทำอันตรายต่อ XRP Ledger (XRPL) โดยตรง แต่การแฮกนี้ถูกเผยแพร่ผ่านช่องทางอย่างเป็นทางการของ Ripple ทำให้ผู้ใช้หลายคนเสี่ยงต่ออันตราย
เพื่อให้เห็นภาพขนาดของปัญหา กระเป๋าเงิน DeFi บน XRPL ปัจจุบันถือเงินฝากของผู้ใช้ประมาณ 80 ล้าน USD การเข้าถึงเพียงส่วนเล็กๆ ของจำนวนนี้ก็ถือเป็นการโจรกรรมขนาดใหญ่
NPM เป็นระบบการแจกจ่าย และการโจมตีแพ็กเกจที่มีความน่าเชื่อถือสูงในนั้นสร้างช่องทางการโจมตีที่ทรงพลัง เป็นการโจมตีซัพพลายเชนที่มุ่งเป้าไปที่นักพัฒนาและโครงสร้างพื้นฐานแทนที่จะเป็นผู้ใช้ปลายทางโดยตรง
แพ็กเกจ NPM ที่ถูกโจมตีสามารถส่งผลกระทบต่อแอปพลิเคชันนับพัน เมื่อผู้โจมตีฝังโค้ดที่เป็นอันตราย เช่น ช่องโหว่ เข้าไปในแพ็กเกจ NPM ที่ได้รับความนิยม แอปพลิเคชันหรือผู้พัฒนาที่ติดตั้งหรืออัปเดตแพ็กเกจนั้นโดยไม่รู้ตัวจะนำมัลแวร์เข้าสู่สภาพแวดล้อมของตนเอง
มูลนิธิ XRP Ledger ยืนยัน ว่ากระเป๋าเงิน DeFi หลายแห่งไม่ได้ถูกเปิดเผย และยังระบุเพิ่มเติมว่าได้ยกเลิกการใช้งานเวอร์ชัน xrpl.js ที่ถูกโจมตีแล้ว นอกจากนี้ยังมีแผนที่จะเผยแพร่การวิเคราะห์หลังเหตุการณ์อย่างละเอียด
นอกจากนี้ แฮกเกอร์ยังสามารถโจมตี ไลบรารีอย่างเป็นทางการสำหรับโปรโตคอล DeFi ที่ต้องการเชื่อมต่อกับ XRP การดำเนินการที่ซับซ้อนเช่นนี้อาจมีผลกระทบตามมา
ข้อจำกัดความรับผิด
หมายเหตุบรรณาธิการ: เนื้อหาต่อไปนี้ไม่ได้สะท้อนถึงมุมมองหรือความคิเห็นของ BeInCrypto มันจัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ควรถูกตีความว่าเป็นคำแนะนำทางการเงิน กรุณาทำการวิจัยของคุณเองก่อนที่จะทำการตัดสินใจลงทุนใดๆ