위험에 처한 개인 키: XRP 원장이 심각한 공급망 익스플로잇과 싸우다

그리고XRP 원장 재단은 개발자들이 XRP 레저 블록체인과 상호작용하는 데 사용하는 공식 자바스크립트 라이브러리인 xrpl.js에서 심각한 취약점이 발견되었음을 확인했습니다.

에 따르면블록체인 보안 업체인 Aikido는 4월 22일 블로그 게시물에서 이번 유출에 대해 자세히 설명했습니다, 오픈소스 라이브러리는 개인 키를 훔쳐 암호화폐 지갑에 무단으로 액세스하도록 설계된 백도어를 삽입한 정교한 공격자에 의해 침입당했습니다.

이 취약점은 특히 4.2.1 ~ 4.2.4 버전의 xrpl.js 라이브러리에 영향을 미쳤으며, 4월 21일 20:53 GMT+0에 모니터링 시스템에서 NPM(노드 패키지 관리자) 레지스트리에 게시된 의심스러운 패키지 5개를 처음 발견한 후 Aikido에서 처음 발견했습니다.

추가 검사 결과, 악성 코드가 삽입되어 손상된 패키지와 통합된 모든 DeFi 지갑에 심각한 위험을 초래하는 것을 확인했습니다.

아키도는 이렇게 말했습니다:

"이 패키지는 수십만 개의 애플리케이션과 웹사이트에서 사용되기 때문에 암호화폐 생태계에 치명적인 공급망 공격이 될 수 있습니다."

매주 14만 건 이상의 다운로드가 발생하고 수천 개의 애플리케이션과 웹사이트에 광범위하게 채택된 이 사고로 인해 공급망에 큰 타격을 입었을 수 있습니다.공격 -최종 사용자가 아닌 개발자와 프로젝트 인프라를 직접 공격하는 위협 벡터입니다.

공격자들은 익스플로잇을 은폐하고 탐지를 피하기 위해 여러 버전의 오염된 패키지를 배포한 것으로 알려졌습니다.

NPM과 같은 공개 패키지 저장소의 변경 사항을 모니터링하도록 설계된 Aikido의 내부 인텔 도구는 악의적인 활동을 포착하는 데 중요한 역할을 했습니다.

핵심 XRP 레저 네트워크 자체는 영향을 받지 않았지만, 이번 유출은 오픈 소스 블록체인 도구의 보안에 대한 우려가 커지고 있음을 보여줍니다.

리플은 이후 손상된 패키지를 더 이상 사용하지 않으며, XRP 레저 재단은 문제가 공개된 직후 해당 패키지를 NPM에서 제거했습니다.

백도어 버전이 신고되기 전에 얼마나 많은 사용자가 백도어 버전을 설치하거나 통합했는지는 아직 명확하지 않습니다.

이 에피소드는 널리 사용되는 개발 패키지에 대한 신뢰가 악용되어 단 한 번의 조직적인 공격으로 수많은 시스템에 침투할 수 있는 소프트웨어 공급망의 위험성을 극명하게 보여 줍니다.

XRPL 재단, 취약점 확인, 즉각적인 수정 사항 발표

최근의 침해 사례는 다음과 같습니다.리플 의 공식 자바스크립트 라이브러리는 리플의 CTO인 데이비드 슈워츠가 공개 경고를 발표할 정도로 XRP 생태계에 심각한 위협을 가하고 있습니다. https://

리플의 선임 소프트웨어 엔지니어인 마유카 바다리(Mayukha Vadari)도 이 취약점의 기술적 측면에 대해 자세히 설명했습니다.

XRP 원장 자체는 영향을 받지 않았지만, 손상된 라이브러리는 공식 리플 채널을 통해 배포되어 사용자와 개발자가 상당한 위험에 노출되었습니다.

잠재적 여파는 상당합니다:XRPL에서 운영되는 디파이 지갑은 총 약 8천만 달러의 사용자 자금을 보유하고 있습니다.

그 중 일부라도 유출되면 상당한 손실이 발생할 수 있습니다.

이에 따라 XRP를 관리하는 비영리 단체인 XRP 레저 재단은 침해 사실을 확인하고 신속하게 수정 사항을 배포했습니다.

4월 22일, 재단은 손상된 버전을 대체하기 위해 xrpl.js 라이브러리 버전 4.2.5를 출시했습니다.

이후 영향을 받은 모든 릴리즈는 NPM에서 더 이상 사용되지 않아 더 이상의 다운로드가 차단되었습니다.

개발자는 v4.2.5로 업그레이드하거나 영향을 받지 않은 v2.14.3으로 되돌아갈 것을 권장합니다.

재단은 이렇게 말했습니다:

"이 취약점은 XRP 레저와 상호 작용하기 위한 자바스크립트 라이브러리인 xrpl.js에 있습니다. XRP 레저 코드베이스나 깃허브 리포지토리 자체에는 영향을 미치지 않습니다. xrpl.js를 사용하는 프로젝트는 즉시 v4.2.5로 업그레이드해야 합니다."

결정적으로, 재단은 XRPL의 핵심 코드베이스와GitHub 리포지토리는 손상되지 않았습니다.

전체 사후 분석 보고서는 곧 공개될 예정입니다.

XRPScan, First Ledger, Gen3 Games를 비롯한 여러 주요 생태계 참여자들은 영향을 받지 않았다고 확인했습니다.

XRPScan은 개인 키를 처리하지 않는 이전 라이브러리 버전을 사용한다고 밝혔으며, Xaman Wallet은 키 관리를 위해 자체 인프라에 의존한다고 강조했습니다.

그럼에도 불구하고 이 사건은 안전한 개발 관행에 대한 광범위한 논의를 촉발시켰습니다.

Gen3 Games의 CTO인 마크 이바네즈는 자신의 팀이 손상된 버전을 피할 수 있었던 것은 "약간의 운"과 함께 좋은 관행 덕분이라고 말했습니다.

Gen3 Games는 pnpm-lock.yaml 파일을 버전 관리에 커밋함으로써 일관된 종속성 관리를 보장하여 예기치 않은 업데이트를 방지했습니다.

이바네즈는 패키지.json에서 캐럿 버전 관리를 피하고, 가능하면 고성능 NPM(PNPM)을 사용하고, 예측 가능한 빌드를 유지하기 위해 항상 잠금 파일을 커밋하는 등의 모범 사례를 강조했습니다.

큰 손실은 보고되지 않았지만, 이 사건은 다음과 같은 점을 강조합니다.공격 증가 서피스: 블록체인 인프라를 지원하는 오픈소스 도구.

공격자들이 소프트웨어 공급망으로 초점을 옮기면서 개발 환경을 보호하는 것이 그 어느 때보다 중요해졌습니다.