Ripple近期发现了一起针对XRP Ledger的关键性供应链攻击事件。这一漏洞并未影响整个XRP Ledger，而是局限于使用从NPM（Node Package Manager）官方下载xrpl.js包的去中心化金融（DeFi）钱包。目前尚不清楚此次复杂攻击中具体有多少用户资金遭到窃取，但Ripple公司已宣布已弃用受影响的软件包。一些主要的DeFi钱包并未下载该包，因此截至目前尚未报告大规模的资金被盗事件。

这起XRP Ledger漏洞最初由区块链安全公司Aikido发现，该公司在Ripple的NPM上检测到了xrpl.js包的五个可疑更新。xrpl.js是Ripple的官方软件开发工具包（SDK），每周有超过14万次下载量。黑客通过这个包植入了一个复杂的后门程序，从而实现了对私钥的窃取以及对钱包的访问权限。

此类性质的漏洞对XRP构成了严重威胁，以至于Ripple首席技术官David Schwartz公开发布了警告。公司高级软件工程师Mayukha Vadari也进一步详细说明了这一漏洞的具体情况。起初，这可能看起来是一个小问题，因为这次漏洞并没有直接损害XRP Ledger（XRPL）。然而，由于这次攻击通过Ripple的官方渠道传播，导致许多用户面临潜在风险。

为了了解其规模，当前在XRPL上的DeFi钱包持有大约8000万美元的用户存款。如果攻击者能够获取其中的一小部分，那也将是一笔巨大的损失。

NPM作为分发系统，其高信任度的软件包一旦被攻破，就会形成一个强大的攻击向量——即一种针对开发者和基础设施而非终端用户的供应链攻击。被篡改的NPM包可能会影响数千个应用程序。当攻击者向一个流行的NPM包注入恶意代码，例如后门时，任何安装或更新该包的应用程序或开发者都会不知不觉地将恶意软件引入自己的环境。

XRP Ledger基金会确认了一些主要的DeFi钱包未受到波及，并且已经弃用了受影响的xrpl.js版本。此外，该基金会还计划发布一份详细的分析报告。同时，攻击者成功地破坏了希望与XRP交互的去中心化金融协议的官方库。这样复杂的操作可能会带来一系列后果。

以上内容由悟空财富根据公开信息整理，与本站立场无关，如存在问题请联系我们，本文为数据整理，不对您构成任何投资建议，投资有风险，请谨慎决策。