Ну что, друзья, похоже, у Ripple снова жаркие деньки! Недавно в сети всплыла новость, от которой у владельцев криптокошельков могут зашевелиться волосы на голове. В JavaScript-библиотеке, которую Ripple советует всем использовать, нашли серьезную брешь. И это не просто мелкая недоработка — из-за нее можно потерять доступ к своим кошелькам и, что куда страшнее, к деньгам, которые там лежат.
А началось все с того, что какой-то ловкий хакер взломал аккаунт одного из разработчиков Ripple на платформе NPM. И вот, не теряя времени, этот умелец подправил библиотеку под названием xrpl.js. Выпустили обновления с номерами версий 2.14.2, 4.2.1, 4.2.2, 4.2.3 и 4.2.4 — и запустили их в свободное плавание на NPM.
Эта штука, к слову, нужна разработчикам, чтобы через JavaScript общаться с XRP Ledger — отправлять транзакции, проверять баланс, ну и вообще рулить счетами в этой сети. Поддерживает ее XRP Ledger Foundation, а Ripple прямо-таки рекомендует всем, кто работает с их блокчейном.
Кто не в курсе: Ripple — это ребята, которые создали криптовалюту XRP. Она сейчас, между прочим, четвертая по величине в мире!
XRP придумали для быстрых международных платежей и переводов валюты, и в основном ее юзают банки и всякие финансовые конторы. На сегодня рыночная капитализация XRP — целых $132,34 миллиарда, а за сутки через нее проходит транзакций на $5 миллиардов. Впечатляет, да?
Так вот, вернемся к нашей истории. Эти зловредные обновления успели скачать 452 раза, пока их не убрали с NPM. Сейчас актуальная версия — 4.2.5, и она, говорят, чистая, как слеза младенца. Всем, кто юзает эту библиотеку, советуют срочно обновляться. А то мало ли! Обычно, кстати, xrpl.js качают больше 100 тысяч раз за неделю — популярная штука, ничего не скажешь.
Интересный момент: на GitHub в репозитории библиотеки никаких следов этой гадости не нашли. Похоже, хакер орудовал уже на этапе публикации в NPM. Хитро придумано, что уж тут.
Тем временем XRP Ledger Foundation поспешила всех успокоить через свой аккаунт в X (да, это бывший Twitter, если кто вдруг забыл). Они написали что-то вроде: «Давайте без паники! Проблема только в xrpl.js, это просто библиотека для работы с XRP Ledger. Сам код XRP Ledger и репозиторий на GitHub целы и невредимы. Если ваш проект завязан на xrpl.js, бегом обновляйтесь до 4.2.5!» Ну, звучит убедительно, хотя осадочек, конечно, остается.
Кстати, проекты вроде Xaman Wallet, XRPScan, First Ledger и Gen3 Games от этой заварушки не пострадали. Так что их пользователям можно выдохнуть — пока, по крайней мере.
Но вообще, ситуация наглядно показывает, как хрупко все в мире крипты. Один взломанный аккаунт — и вот уже сотни людей могли остаться без своих кровных. Так что, ребята, если вы в деле с XRP, проверяйте версии библиотек, обновляйтесь вовремя и держите ухо востро. А то эти хакеры, похоже, спят и видят, как бы нас всех обчистить!