XRP Ledger Vakfı, popüler JavaScript kütüphanesi xrpl.js’nin bazı sürümlerinde ciddi bir güvenlik açığı tespit edildiğini duyurdu. Güvenlik araştırmacısı Charlie Eriksen’in keşfettiği güvenlik açığı kullanıcı cüzdanlarının kontrolünü ele geçirebilecek “felaket düzeyde” bir tedarik zinciri saldırısına zemin hazırlayabilecek nitelikte. XRP Ledger mühendisleri ivedilikle yeni sürümler yayınlayarak tehlikeyi bertaraf ettiğini belirtti. Güncellenen duyuruda açığın yalnızca xrpl.js kütüphanesini etkilediği vurgulandı. XRP Ledger’ın kendisi veya GitHub havuzu bu durumdan etkilenmedi. Vakıf, etkilenen sürümleri kullanan tüm projelerin derhal v4.2.5’e geçiş yapmasını tavsiye etti.
Kritik Açık: NPM Sürümünde Arka Kapı
Eriksen’e göre kötü amaçlı kodlar yalnızca Node Package Manager (NPM) üzerinde yayımlanan bazı sürümlerde bulundu. NPM, JavaScript projelerinde yaygın şekilde kullanılan bir dağıtım platformu. Arka kapının özellikle v4.2.1 ile v4.2.4 arasındaki sürümleri etkilediği doğrulandı.
Açığın kullanıcılara ait özel anahtarların ele geçirilmesine neden olabileceği vurgulandı. Bu, kullanıcıların varlıklarının çalınması gibi ciddi sonuçlara yol açabilir. Ancak şu ana kadar doğrudan bir mağduriyet bildirimi yapılmış değil.
Yüz Binlerce Proje Risk Altındaydı
xrpl.js, XRP Ledger ile etkileşim kurmak için kullanılan resmi SDK’dır ve haftalık 140 binden fazla indirilmeye sahip. Eriksen, zararlı sürümlerin yalnızca kısa süreliğine erişilebilir olduğunu belirtti. Bu nedenle güncellemeyi o dönemde yapan projeler hedef alınmış olabilir.
XRPScan ve Xaman Wallet gibi bazı projeler güvenliklerini doğruladı. Ancak özel anahtarlarını bu sürümler aracılığıyla işleyen kullanıcıların cüzdanlarını taşıması gerektiği açıklandı. Eriksen, “Bu anahtarlar artık güvenli değil. Derhal yeni bir cüzdana geçilmesi gerek” dedi.
XRP, söz konusu açıklamaların ardından piyasa genelindeki yükselişe paralel olarak Salı günü yüzde 4 değer kazandı.
