黑客攻擊了針對瑞波幣XRP帳本的嚴重供應鏈

瑞波幣剛剛確認了一次針對XRP Ledger (XRPL)生態系統的嚴重供應鏈攻擊，特別是針對使用來自NPM (節點包管理器)的官方xrpl.js軟件包的錢包。這個漏洞並不影響整個XRPL，而只是影響到一些依賴被植入惡意代碼的庫的錢包。

此事件首次由區塊鏈安全公司Aikido發現，他們在xrpl.js包中發現了5個可疑的更新——這是瑞波幣的官方軟件開發工具包(SDK)，每周下載超過140,000次。黑客在該包中安裝了一個復雜的後門，允許竊取私鑰並未經授權訪問用戶錢包。

雖然尚不清楚有多少用戶受到影響，瑞波幣表示他們已停止使用被入侵的版本，並警告開發社區這一嚴重風險。

值得注意的是，盡管安全漏洞並未直接影響XRPL，但它卻通過瑞波幣的官方渠道傳播，使得許多開發者和去中心化金融用戶可能在不知情的情況下受到影響。

供應鏈攻擊 - 潛在威脅

此次攻擊是供應鏈攻擊的典型例子——黑客攻擊開發工具而不是最終用戶。當一個流行的NPM包被感染惡意代碼時，成千上萬依賴該包的應用和項目也會不幸成爲受害者。

在這種情況下，XRPL上的去中心化金融錢包當前持有約8000萬美元的存款。只需一小部分這些資金被未經授權訪問，就足以造成嚴重後果。

大衛·施瓦茨（David Schwartz）——瑞波幣的首席技術官——發出了正式警告。高級軟件工程師Mayukha Vadari也公布了與漏洞相關的技術細節。與此同時，XRP Ledger Foundation確認許多大型DeFi錢包未使用受感染的包，並表示將很快發布完整的分析報告。

此外，黑客還入侵了用於與瑞波幣互動的去中心化金融協議所使用的官方庫，這表明這是一個復雜的、有組織的行動，可能會對瑞波幣生態系統造成重大影響。

免責聲明: 本文僅供參考，並不構成投資建議。投資者在做出決策之前應進行充分的研究。我們對您的投資決策不承擔任何責任