एक खतरे वाले अभिनेता ने एक एक्सआरपी लेजर के डेवलपर एक्सेस टोकन का शोषण किया, जो कि नेटवर्क के लिए “भयावह” हो सकता है, जो इस मुद्दे को देखा जा सकता है। एक अद्यतन में कहा।

ऐकिडो सिक्योरिटी के एक शोधकर्ता चार्ली एरिकसेन, जिन्होंने पहली बार समस्या को देखा था, ने कहा कि एक छिपे हुए मुद्दे को एक नए टूलकिट के हाल के संस्करणों में जोड़ा गया था, जो एक्सआरपी लेजर के साथ काम करने वाले ऐप्स का निर्माण करते थे।

“एक डेवलपर का एनपीएम एक्सेस टोकन खतरे के अभिनेताओं द्वारा चोरी हो गया था,” ऐकिडो ने एक्स पर कहा। “यह अभी स्पष्ट नहीं है कि अभी कितना खतरा है। यह भी स्पष्ट नहीं है कि खतरे के अभिनेता अभी कौन हैं (हालांकि हमारे पास एक कूबड़ है जिसकी हम पुष्टि करने की कोशिश कर रहे हैं)।”

समस्या केवल नोड पैकेज मैनेजर (एनपीएम) के संस्करणों को प्रभावित करती है, एक ऐसी साइट जहां डेवलपर्स परियोजनाओं के लिए पुन: प्रयोज्य कोड साझा करते हैं। Xaman वॉलेट और XRPSCAN की तरह प्रमुख XRP से संबंधित सेवाएं, उन्होंने कहा कि वे थे अप्रभावित अलग -अलग एक्स पोस्ट में।

यह दोष हमलावरों को उपयोगकर्ताओं की निजी कुंजी चुराने दे सकता है, संभवतः सिद्धांत में उनके क्रिप्टो वॉलेट तक पहुंच सकता है।

एरिकसेन ने एक सुरक्षा अद्यतन में कहा, “21 अप्रैल, 20:53 GMT+0, हमारे सिस्टम में, Aikido Intel ने हमें XRPL पैकेज के पांच नए पैकेज संस्करण के लिए सचेत करना शुरू कर दिया। यह XRP लेजर के लिए आधिकारिक SDK है, 140.000 से अधिक साप्ताहिक डाउनलोड के साथ,” एरिकसेन ने एक सुरक्षा अद्यतन में कहा।

“इस पैकेज का उपयोग सैकड़ों हजारों अनुप्रयोगों और वेबसाइटों द्वारा किया जाता है, जो इसे क्रिप्टोक्यूरेंसी पारिस्थितिकी तंत्र पर संभावित रूप से भयावह आपूर्ति श्रृंखला हमला करता है,” एरिकसेन ने कहा।

उन्होंने कहा कि एक संक्षिप्त अवधि के दौरान त्रुटिपूर्ण संस्करणों को स्थापित करने वाले केवल तृतीय-पक्ष ऐप या सेवाएं जोखिम में हो सकती हैं।

जैसे, एक्सआरपी लेजर फाउंडेशन टीम ने दोषपूर्ण लोगों को बदलने के लिए टूल के अद्यतन संस्करणों को जारी करके समस्या को जल्दी से तय किया। प्रभावित संस्करण (v4.2.1-4.2.4 और v2.14.2) को हटा दिया गया था।

“स्पष्ट करने के लिए: यह भेद्यता XRPL.JS में है, XRP लेजर के साथ बातचीत करने के लिए एक जावास्क्रिप्ट लाइब्रेरी। यह XRP लेजर कोडबेस या GitHub रिपॉजिटरी को प्रभावित नहीं करता है। XRPL.JS का उपयोग करने वाली परियोजनाओं को तुरंत V4.2.5 में अपग्रेड करना चाहिए,” फाउंडेशन ने अलग -अलग पोस्ट किया।

एक जावास्क्रिप्ट लाइब्रेरी वेब विकास में कार्यों को सरल बनाने के लिए पूर्व-लिखित कोड का एक संग्रह है। GitHub रेपो एक प्रोजेक्ट के कोड, फ़ाइलों और इतिहास के लिए एक ऑनलाइन स्टोरेज स्पेस है, जिसे GitHub पर होस्ट किया गया है।

XRP की कीमतें पिछले 24 घंटों में व्यापक बाजार की छलांग के साथ 8.5% बढ़ जाती हैं।

Source link