リップル社の最高技術責任者(CTO)であるDavid Schwartz氏が、XRP Ledger(XRPL)開発者向けライブラリ「xrpl.js」の最近のバージョンの一部に、秘密鍵を盗む悪意のあるコードが含まれていたとして、SNSで「重大な警告」を発しました。
現在は該当パッケージが削除され修正版が公開されていますが、影響を受けた可能性のある開発者には迅速な対応が求められています。この問題は、セキュリティ企業Aikido SecurityがAIを活用した脅威監視システムによって発見されました。
この悪意のあるコードが含まれたバージョンをインストールしてしまった開発者の暗号資産ウォレットは、秘密鍵が流出し、資産が危険に晒される可能性があります。Schwartz氏は、該当バージョンを利用した開発者に対し、自身の秘密鍵が盗まれたものとして扱い、関連する資産を直ちに別の安全なウォレットへ移動させるよう強く警告しています。
一方で、Xummのような広く利用されている一般的なXRPウォレットアプリのユーザーが、この問題によって直接影響を受ける可能性は低いとされています。
XRP Ledger(XRPL)のブロックチェーン自体はこのインシデントによる影響を受けておらず、現在も正常に稼働しています。Vadari氏によると、影響は悪意のあるバージョンにアップグレードしたサービスに限定され、GitHub上のコードは安全であるとのことです。
今回のインシデントは、ソフトウェア開発におけるサプライチェーン攻撃のリスクを改めて示すものとなりました。XRPL自体は安全性が保たれていますが、開発者コミュニティは利用するライブラリのバージョン管理と安全性について常に注意を払う必要があります。
The post リップル(XRP)開発ライブラリに悪意コード混入|秘密鍵流出の危険性、CTOが警鐘 appeared first on CRYPTO TIMES