มูลนิธิ XRP เตือนช่องโหว่ร้ายแรงใน SDK บน JavaScript เสี่ยงคีย์ส่วนตัวรั่ว

Thu, 24 Apr 2025, 01:52 am UTC

มูลนิธิ XRP เตือนช่องโหว่ร้ายแรงใน SDK บน JavaScript เสี่ยงคีย์ส่วนตัวรั่ว / Tokenpost

มูลนิธิ XRP เลเจอร์ออกคำเตือนเกี่ยวกับ *ช่องโหว่ความปลอดภัยร้ายแรง* ที่ถูกพบใน SDK ภาษา JavaScript อย่างเป็นทางการ ซึ่งเป็นเครื่องมือที่นักพัฒนานำมาใช้ในการเชื่อมต่อกับเครือข่าย XRP เลเจอร์ (XRPL)

เมื่อวันที่ 21 เมษายน บริษัทไอคิโด ซีเคียวริตี้เปิดเผยว่า มีหลายเวอร์ชันของซอฟต์แวร์บนแพลตฟอร์ม NPM (Node Package Manager) ที่ถูกฝัง *แบ็คดอร์* ซึ่งสามารถขโมย ‘คีย์ส่วนตัว’ ของผู้ใช้งานได้

บิทส์ บินด์ ผู้ก่อตั้งและซีอีโอของ XRPL แล็บส์ ระบุว่า กระเป๋าคริปโตชื่อ Xumm ของบริษัทไม่ได้ใช้ไลบรารี ‘xrpl.js’ และใช้ไลบรารี ‘xrpl-client’ กับ ‘xrpl-accountlib’ ที่พัฒนาเอง จึง *ไม่ได้รับผลกระทบจากช่องโหว่ครั้งนี้*

บินด์อธิบายว่า โค้ดอันตรายใน ‘xrpl.js’ ได้ส่งคีย์ส่วนตัวที่สร้างมาหรือที่นำเข้ามาไปยัง *เซิร์ฟเวอร์ภายนอกของแฮกเกอร์* ซึ่งเป็นการเปิดช่องให้ผู้ไม่หวังดีเก็บรวบรวมคู่คีย์เหล่านี้ และรอจนมีกระแสเงินไหลเข้าสู่กระเป๋า จากนั้นก็โจรกรรมสินทรัพย์

เขายังแนะนำว่า *ผู้ใช้ที่เคยสร้างกระเป๋าผ่าน API หรือเครื่องมือของ XRPL เมื่อเร็วๆ นี้* ควรสันนิษฐานว่ากระเป๋าของตนถูกเจาะแล้ว และควรโอนทรัพย์สินออกโดยทันที

จากเหตุการณ์นี้ มูลนิธิ XRP เลเจอร์ได้จัดการเผยแพร่แพ็คเกจเวอร์ชันใหม่ที่ถูกลบโค้ดอันตรายออก เพื่อให้ SDK กลับมาใช้งานได้อย่าง ‘ปลอดภัย’ อีกครั้ง

ไอคิโด ซีเคียวริตี้ เปิดเผยว่า ระบบเฝ้าระวังภัยแบบอัตโนมัติของตนตรวจพบความผิดปกติในอัปเดตของแพ็คเกจ XRPL บน NPM โดยพบว่า มีผู้ใช้ชื่อ “mukulljangid” เผยแพร่ 5 เวอร์ชันใหม่ ซึ่งไม่ตรงกับ release ที่เผยแพร่ใน GitHub อย่างเป็นทางการของ XRP เลเจอร์

ทีมวิจัยพบว่า เวอร์ชันที่ถูกเจาะมีฟังก์ชันชื่อว่า `checkValidityOfSeed` ซึ่งสามารถส่งคีย์ส่วนตัวที่สร้างระหว่างการเปิดกระเป๋าไปยังโดเมนของแฮกเกอร์ที่ชื่อ *0x9c.xyz*

ในเบื้องต้น เวอร์ชัน 4.2.1 และ 4.2.2 *ซ่อนไว้ในไฟล์ JavaScript ที่ถูกคอมไพล์แล้ว* ส่วนเวอร์ชัน 4.2.3 และ 4.2.4 *แทรกโค้ดอันตรายไว้ในซอร์สไฟล์ TypeScript* โดยตรง ทำให้ตรวจจับได้ยากขึ้น นอกจากนี้ยังพบว่า แพ็คเกจเหล่านี้ *ถูกแก้ไขไฟล์ package.json* โดยถอดเครื่องมือพัฒนาบางอย่าง เช่น Prettier และ build script ออก ซึ่งสะท้อนว่ามีความจงใจปรับแต่งอย่างชัดเจน

เหตุการณ์นี้เกิดขึ้นไม่นานหลังจากที่ *รีเพิล (Ripple)* เพิ่งประกาศซื้อกิจการบริษัทนายหน้าซื้อขายสินทรัพย์ดิจิทัล *Hidden Road* มูลค่ากว่า 1.25 พันล้านดอลลาร์สหรัฐ (ประมาณ 1.77 ล้านล้านวอน) ความเคลื่อนไหวดังกล่าวสร้างความคาดหวังว่าเครือข่าย XRPL จะกลายเป็น *ช่องทางสำคัญในการจัดการเงินทุนระดับสถาบัน*

*ความคิดเห็น*: เหตุการณ์นี้ตอกย้ำความอ่อนไหวของซอฟต์แวร์โอเพ่นซอร์สที่นักพัฒนาใช้กันแพร่หลาย และยังเป็นบทเรียนสำคัญว่านักพัฒนาและผู้ใช้งานควรตรวจสอบความถูกต้องของแพ็คเกจก่อนติดตั้งโดยเฉพาะในระบบที่เกี่ยวข้องกับกุญแจคริปโต

<ลิขสิทธิ์ ⓒ TokenPost ห้ามเผยแพร่หรือแจกจ่ายซ้ำโดยไม่ได้รับอนุญาต>

#XRP

บทความที่มีคนดูมากที่สุด