根据XRP Ledger基金会周二的披露，xrpl包的新版本（一个用于与XRP Ledger交互的JavaScript库）似乎已发布，并存在安全问题。识别出该漏洞的Aikido Security恶意软件研究员Charlie Eriksen表示，这可能导致对系统的“潜在灾难性”供应链攻击。

XRP Ledger的工程师似乎通过发布更新版本的代码来解决这一问题，以“覆盖受损的包，并建议任何使用受影响的JavaScript库（v4.2.1-4.2.4和v2.14.2）的人立即更新。”团队还表示，一旦对漏洞的发布有了更好的理解，将发布一份事后分析。

“澄清一下：这个漏洞存在于xrpl.js中，这是一个用于与XRP Ledger交互的JavaScript库。它不影响XRP Ledger的代码库或Github存储库本身。使用xrpl.js的项目应立即升级到v4.2.5，”基金会在另一篇帖子中写道。

XRPL是Ripple Labs在十多年前推出的一个区块链，用于跨境支付和代币化。

根据Eriksen的说法，最近发布的软件开发工具包中插入了一个后门，该工具包用于构建应用程序并与XRP Ledger交互。这个问题可能使恶意攻击者能够窃取用户的私钥，并可能获得对其钱包的未经授权访问，尽管尚不清楚是否有任何人受到影响。

“在4月21日，格林威治标准时间+0 20:53，我们的系统Aikido Intel开始警告我们关于xrpl包的五个新版本。这是XRP Ledger的官方SDK，每周下载量超过140,000次，”Eriksen写道。“这个包被数十万的应用程序和网站使用，使其成为对加密货币生态系统的潜在灾难性供应链攻击。”

他指出，潜在的攻击将限于在短时间内更新到恶意版本的第三方服务。后门似乎仅限于Node Package Manager（NPM）上的代码版本，NPM是一个类似于GitHub的工具，供开发人员共享可重用的JavaScript包以用于Node.js项目。与XRP相关的几个项目，包括Xaman Wallet和XRPScan，指出他们的服务可能是安全的。

“如果您认为您可能受到影响，重要的是要假设任何通过代码处理的种子或私钥都已被泄露，”Eriksen说。“这些密钥不应再使用，任何与之相关的资产应立即转移到另一个钱包/密钥。”

根据The Block的价格页面，用于支付费用的网络原生加密货币XRP在周二上涨了4%，这是在更广泛的市场反弹中。

免责声明：The Block是一个独立的媒体机构，提供新闻、研究和数据。截至2023年11月，Foresight Ventures是The Block的主要投资者。Foresight Ventures还投资于加密领域的其他公司。加密交易所Bitget是Foresight Ventures的主要LP。The Block继续独立运营，提供关于加密行业的客观、重要和及时的信息。以下是我们当前的财务披露。

© 2025 The Block。保留所有权利。本文仅供信息参考。并不提供或意图作为法律、税务、投资、财务或其他建议。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。