Ripple сообщила об атаке на инфраструктуру XRP Ledger. Под удар попали не все сервисы, а только DeFi-кошельки, использующие официальный пакет xrpl.js из NPM (Node Package Manager).
Сколько средств могли украсть — пока неясно. Ripple утверждает, что уязвимый пакет уже отключили. Крупные кошельки не использовали эту библиотеку, и сообщений о серьёзных потерях пока не поступало.
Вирус в библиотеке Ripple
Первым уязвимость обнаружило агентство Aikido, занимающееся аудитом блокчейн-безопасности. Они нашли пять подозрительных обновлений в пакете xrpl.js, размещённом Ripple на платформе NPM.
Эта библиотека считается официальным инструментом для работы с XRPL и еженедельно скачивается более 140 000 раз. Хакеры встроили в неё сложную программу, которая позволяла воровать приватные ключи и получать доступ к кошелькам.
Читайте также: XRP может получить одобрение ETF раньше DOGE и Solana
Для XRP это серьёзная угроза, технический директор Ripple Дэвид Шварц выпустил официальное предупреждение. Более подробно о сути уязвимости рассказал старший инженер компании Маюкха Вадари.
На первый взгляд может показаться, что ничего страшного не случилось, ведь сама сеть XRPL не была скомпрометирована. Но проблема в том, что вредоносный код распространялся через официальные каналы Ripple. Это подвергло риску многих пользователей.
DeFi-кошельки в сети XRPL сейчас хранят около $80 миллионов пользовательских средств. Даже если злоумышленники получат доступ хотя бы к малой части, это уже будет крупная кража.
Активы DeFi в сети XRP Ledger. Источник: DefiLlama
Уязвимость в NPM это серьёзный удар по всей инфраструктуре. Это не атака на конечных пользователей, а на разработчиков и саму экосистему: подменяется доверенный пакет, через который распространяется вредоносный код.
Когда заражают популярную библиотеку вроде xrpl.js, вирус может незаметно проникнуть в тысячи приложений. Разработчики просто устанавливают или обновляют пакет и встраивают бэкдор в свою систему, даже не подозревая об этом.
Фонд XRP Ledger подтвердил, что несколько крупных DeFi-кошельков не пострадали. Вредоносные версии пакета уже удалили, а позже будет опубликован подробный отчёт по инциденту.
Кроме того, хакерам удалось заразить официальную библиотеку, которую используют DeFi-протоколы для работы с XRPL. Это говорит о высокой степени подготовки.
