Хакери атакуват пакет на Ripple с цел кражба на лични ключове
Според информация от сайта ZyCrypto, официалният NPM пакет на Ripple за XRP Ledger (XRPL) е бил компрометиран от сложна хакерска атака, при която нападателите са инсталирали задна вратичка за извличане и кражба на криптоключове. Атаката е дала на хакерите достъп до частни портфейли на множество потребители. Екипът на Ripple е открил нарушението на сигурността, когато пет нови пакета са били добавени към хранилището на XRP Ledger (XRPL) без необходимото одобрение. Компрометираният пакет има значително разпространение с около 140 000 седмични изтегляния, като хиляди уебсайтове и приложения по целия свят разчитат на него за функционирането си.
Технически детайли за атаката
Пробивът в сигурността е бил идентифициран, когато специалистите на Ripple са забелязали, че петте нови пакета, добавени в GitHub хранилището, не съответстват на предишните версии. Това несъответствие е предизвикало подозрение и е довело до по-задълбочен анализ на кода. При проверката е установено, че зловредният код е програмиран да комуникира с новорегистриран домейн - 0x9c.xyz, който е бил използван по време на процеса на създаване на портфейл. Тази връзка е позволила на нападателите да получат достъп до частни ключове на потребителите.
Анализът на зловредния код показва еволюция в методите на нападателите. В ранните етапи на атаката, те са кодирали експлойта в прост, лесно разпознаваем формат. С времето обаче, те са усъвършенствали подхода си, преминавайки към по-сложно маскиране на задната врата чрез TypeScript код, което е направило откриването му значително по-трудно.
Компрометираните версии на XRPL включват 4.2.1 и 4.2.4, а конкретният метод, добавен от нападателите, е наречен checkValidityOfSeed(). Този метод е добавен в края на файла /src/index.ts в засегнатите версии и позволява на потребителите да изпращат низ към уеб адреса 0x9c.xyz/xcm. На практика това означава, че хакерите са могли да съхраняват извлечените данни на своя сървър чрез HTTP POST заявки.
Маскиране на атаката и последствия
За да избегнат лесното откриване на зловредната дейност, нападателите допълнително са маскирали метода на заявката като услуга за реферална реклама. Това е направено с цел да се заблудят скенерите за мрежов мониторинг и да се прикрият истинските намерения зад кода. Методът checkValidityOfSeed() е бил проектиран така, че да позволява на нападателите да крадат частни ключове, мнемонични фрази и семена, което на свой ред им дава пълен достъп до криптопортфейлите на жертвите.
Фондацията XRP Ledger (XRPLF), която е отговорна за поддръжката на библиотеката xrpl.js, е реагирала бързо след откриването на пробива. Библиотеката xrpl.js е от ключово значение за екосистемата на Ripple, тъй като позволява на разработчиците да достъпват функции на портфейла, да прехвърлят токени и да взаимодействат с блокчейна на Ripple. Широкото разпространение на пакета, с над 140 000 седмични изтегляния, прави тази атака особено опасна и с потенциално огромен обхват.
Засегнати версии и мерки за защита
Установено е, че зловредният код е бил внедрен във версиите 2.14.2, 4.2.1, 4.2.2, 4.2.3 и 4.2.4 на библиотеката. В отговор на откритата уязвимост, Ripple бързо разработи и пусна коригирана версия 4.2.5, която премахва злонамерения код и възстановява сигурността на пакета.
Ripple публикува подробни препоръки към всички разработчици и потребители, които биха могли да бъдат засегнати от атаката. Първо, те трябва да проверят логовете си за изходящ трафик към подозрителния домейн 0x9c.xyz. Второ, всички приложения, използващи XRP Ledger, трябва да сменят адресите на портфейлите си, за да предотвратят бъдещи атаки от злонамерени актьори. И най-важното, засегнатите потребители трябва незабавно да преместят всички свои активи на нови, сигурни адреси, за да избегнат потенциална кражба.
Проблемът при този тип атаки е, че те могат да заразят библиотеки, използвани от разработчици, и след това да засегнат крайни потребители, които изтеглят вече компрометирани приложения. За да предотврати по-нататъшното разпространение на зловредния код, Ripple е премахнал всички заразени NPM пакети от официалното хранилище.
Официална позиция на Ripple
Фондацията Ripple публикува официално изявление относно инцидента, в което подчертава:
„Тази уязвимост е в xrpl.js, JavaScript библиотека за взаимодействие с XRP Ledger. Тя НЕ засяга кода на XRP Ledger или самото хранилище в GitHub. Проектите, използващи xrpl.js, трябва незабавно да надградят до версия 4.2.5."
Това уточнение е важно, тъй като разграничава проблема с библиотеката от основната инфраструктура на Ripple, което е от съществено значение за поддържане на доверието в платформата. Ripple увери потребителите, че атаката е засегнала само пакета xrpl.js, а не основното хранилище на Ripple, което остава сигурно и защитено.
Подобни атаки в крипто индустрията
Атаката срещу библиотеката на Ripple не е изолиран случай в криптовалутния сектор. През Март тази година, Coinbase е претърпяла подобна атака, когато нападатели са се насочили към техния отворен код AgentKit. Тази атака също е била насочена към веригите за доставки, подобно на атаката срещу XRPL, и е имала за цел да експлоатира проекти, свързани с криптовалути. За разлика от случая с Ripple обаче, Coinbase е успяла да осуети атаката в ранен етап и да предотврати сериозни щети по своята верига за доставки.
Друг интересен аспект е, че севернокорейската хакерска група Lazarus също е известна с насочването си към NPM хранилища, използвайки трик за създаване на хранилища с имена, подобни на тези на официалните библиотеки. Това показва нарастващата тенденция на държавно спонсорирани хакерски групи да се фокусират върху криптовалутния сектор.
Текущо състояние на Ripple и бъдещи перспективи
Въпреки неотдавнашната хакерска атака, Ripple отбелязва значителни успехи на американския пазар след уреждането на дългогодишния спор със Комисията по ценни книжа и борси на САЩ (SEC). Промените в американското законодателство са позволили на мрежата на Ripple да разшири бизнес практиките си и да фокусира усилията си върху иновациите в сектора.
След встъпването в длъжност на президента Тръмп, цената на XRP е отбелязала забележителен ръст от около 300%, което показва подновеното доверие на инвеститорите в проекта. Интересно е да се отбележи, че волатилността на Ripple е сходна с тази на други криптовалути като Stellar и TRON, което вероятно се дължи на припокриващите се пазари за парични преводи, на които тези криптовалути оперират.
В допълнение, наскоро е стартирала инициатива за пускане на XRP ETF, което би могло допълнително да повиши популярността и достъпността на тази криптовалута за институционални инвеститори. На 21 Април, Coinbase също обяви пускането на пазар за фючърси на XRP на своята платформа за деривати, което е поредното доказателство за нарастващия интерес към токена на Ripple.
