ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
ไลบรารีภาษาจาวาสคริปต์ *xrpl.js* ของริปเปิล(XRP) ถูกตรวจพบว่าเกิดช่องโหว่ด้านความปลอดภัยร้ายแรง ซึ่งอาจเปิดช่องให้ผู้ไม่หวังดีเข้าถึง ‘คีย์ส่วนตัว’ ของผู้ใช้งานโดยไม่ได้รับอนุญาต
บริษัทด้านความปลอดภัยทางไซเบอร์ *Aikido Security* เป็นผู้ค้นพบช่องโหว่นี้เป็นรายแรก และ *เดวิด ชวาร์ตซ์* ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี(CTO) ของริปเปิลก็ออกมายืนยันข้อมูลดังกล่าวแล้ว โดยเวอร์ชันของไลบรารีที่ได้รับผลกระทบคือ 4.2.1, 4.2.2, 4.2.3, 4.2.4 และ 2.14.2 อย่างไรก็ดี *บริการหลักของริปเปิล* อย่าง *XRP Scan* และ *Xaman Wallet* ไม่ได้รับผลกระทบ
*ปีเตอร์ ทอดด์* นักพัฒนาบิตคอยน์(BTC) แสดงความเห็นว่า ริปเปิลเคยถูกเตือนเรื่องการไม่ลงนามลายเซ็นดิจิทัลอย่าง *PGP* ตั้งแต่เมื่อ 10 ปีก่อน แต่ไม่ได้ดำเนินการจริงจัง ทำให้สุดท้ายเกิดเหตุการณ์ ‘Backdoor’ จากช่องโหว่ของ npm ขึ้นมาในครั้งนี้ เขายังกล่าวเพิ่มเติมว่าปัจจุบันแพลตฟอร์ม *PyPi* ก็เริ่มเลิกใช้ PGP เช่นกัน และถือว่าเป็นความ ‘ไร้ประสิทธิภาพ’ ของวงการซอฟต์แวร์โดยรวม
เหตุการณ์เกิดขึ้นเมื่อวันที่ 21 เมษายนที่ผ่านมา โดยพบว่าผู้พัฒนาที่ใช้ชื่อว่า *mukulljangid* ได้ใส่โค้ดอันตรายลงในแพ็กเกจ xrpl.js ซึ่งโค้ดนี้จะส่งคีย์ส่วนตัวของผู้ใช้ออกไปยังเซิร์ฟเวอร์ภายนอก ผู้โจมตียังสามารถเข้าถึงบัญชี npm ของพนักงานริปเปิลเพื่ออัปโหลดเวอร์ชันที่แฝงโค้ดดังกล่าว และเปลี่ยนเวอร์ชันอย่างรวดเร็วเพื่อหลีกเลี่ยงการตรวจจับ อย่างไรก็ตาม ที่เก็บโค้ดบน GitHub ไม่พบร่องรอย Backdoor แต่อย่างใด
ทาง *มูลนิธิ XRP Ledger* ได้ออกแถลงล่าสุดว่าขณะนี้ได้ถอดเวอร์ชันที่มีช่องโหว่ออกจากไลบรารีแล้ว พร้อมแนะนำให้นักพัฒนาใช้เวอร์ชัน 4.2.5 หรือ 2.14.3 เพื่อความปลอดภัย รายงานวิเคราะห์เชิงลึกเกี่ยวกับกรณีนี้จะมีการเปิดเผยในเร็วๆ นี้
*ความคิดเห็น*: เหตุการณ์ในครั้งนี้ตอกย้ำความสำคัญของมาตรการรักษาความปลอดภัยในสายงานพัฒนาซอฟต์แวร์ โดยเฉพาะในแวดวงคริปโตที่มีการจัดการข้อมูลสำคัญและธุรกรรมมูลค่าสูงอยู่ตลอดเวลา ความผิดพลาดเพียงเล็กน้อยอาจนำไปสู่ความเสียหายใหญ่หลวงได้ในพริบตา
ความคิดเห็น 0