交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
XRP遭遇重大安全事件:xrpl.js库被植入后门
XRP近期遭遇了一起重大安全事件,涉及广泛用于Ripple相关开发的xrpl.js JavaScript库。这个npm包在软件供应链攻击中遭到破坏,导致私钥泄露,引发了依赖XRP Ledger的开发者及项目的担忧。
事件详情
该问题最初由Aikido Security发现,随后被Ripple首席技术官David Schwartz证实。受影响的是在Node Package Manager(NPM)上发布的特定版本:4.2.1至4.2.4以及2.14.2。Xaman Wallet和XRPScan等流行平台已确认未受影响。Ripple迅速做出响应,发布了修复版本4.2.5和2.14.3,并敦促开发者立即更新。
我们在官方#xrplNPM包中发现了一个后门。该后门会窃取私钥并将其发送给攻击者。受影响的版本为4.2.1至4.2.4,如果您使用的是较早版本,请不要升级。#crypto#malware#npm pic.twitter.com/wshcTFKjbR — Aikido Security (@AikidoSecurity) 2025年4月22日
安全漏洞与批评
安全分析师和过往文档多次指出Ripple在软件包分发方面存在的问题。主要担忧包括Git提交和发布标签缺少PGP签名,以及使用不安全的HTTP协议分发Ubuntu软件包。这些漏洞使得验证代码真实性或审计其来源变得困难。
Ripple Labs将其代码托管在GitHub上,并鼓励开源贡献。然而,由于缺乏安全的签名机制,依赖其工具的项目在软件交付过程中仍然容易受到篡改。
专家观点
比特币开发者Peter Todd在事件发生后发表评论。他在X(原Twitter)上的一篇帖子中强调,自己早在十年前就警告过这些风险。Todd批评Ripple继续忽视对PGP签名和其他安全最佳实践的呼吁,认为如果有更强的代码验证措施,这个问题本可以避免。
https://t.co/5Z3x68KeB5 pic.twitter.com/IkR3sG3pfd — Peter Todd (@peterktodd) 2025年4月23日
官方声明
XRP Ledger基金会发布声明,确认该漏洞仅限于xrpl.js npm包。他们澄清XRP Ledger的核心代码库及其GitHub仓库未受影响。尽管如此,该事件凸显了安全软件实践的重要性,特别是在处理敏感加密密钥的生态系统中。
