Büyük şirketlerin internetle birlikte karşı karşıya kaldığı en büyük sorun sistem zafiyetleri oldu. Milyarlarca dolarlık kayıplar gördük ve kripto için bu çok daha büyük bir risk. Her yıl milyarlarca dolarlık kripto para çalınıyor ve popüler projelerin iflas ettiğini görüyoruz. XRP Coin için son uyarı bu riski gözler önüne seriyor.
Ripple Kod Açığı
XRP Legder Vakfı, XRPL JavaScript kod kütüphanesinin son durumunu önemli bir güvenlik açığı tespit etti. Esasen açığı ortaya çıkaran siber güvenlik uzmanlarıydı. Şirketler sistemlerindeki açıkları tespit edip kendilerine raporlayanlara zafiyetin boyutuna bağlı olarak teşvik edici ödüller veriyor. Aikido Security’den malware araştırmacısı Charlie Eriksen, bunun sistem üzerinde “potansiyel olarak yıkıcı” etkileri olacağını fark edip raporladı.
XRP Ledger mühendisleri, “güvenliği ihlal edilmiş paketleri geçersiz kılmak ve etkilenen JavaScript kütüphanelerini (v4.2.1-4.2.4 ve v2.14.2) kullanan herkesin derhal güncelleme yapmasını tavsiye etmek için kodun güncellenmiş sürümlerini yayınladı ve uyarıda bulundu.
“Bu güvenlik açığı, XRP Ledger ile etkileşim için bir JavaScript kütüphanesi olan xrpl.js’de bulunmaktadır. XRP Ledger kod tabanını veya Github deposunun kendisini ETKİLEMEMEKTEDİR. Xrpl.js kullanan projeler derhal v4.2.5 sürümüne yükseltme yapmalıdır.” XRP Ledger
Eriksen ise şunları yazdı,
“21 Nisan, 20:53 GMT+0’da, sistemimiz Aikido Intel bizi xrpl paketinin beş yeni paket sürümüne karşı uyarmaya başladı. Bu paket, haftalık 140.000’den fazla indirilen XRP Ledger’ın resmi SDK’sıdır. Bu kod paketi yüz binlerce ve uygulama ve web sitesi tarafından kullanılıyor ve bu da onu kripto para ekosistemine yönelik potansiyel olarak yıkıcı bir silaha dönüştürüyor.”
Cüzdanlar Boşaltılabilirdi
Node Package Manager (NPM) üzerindeki kod sürümleriyle sınırlı olan zafiyet kod tarafından işlenen özel anahtarların saldırganların eline geçmesine de izin veriyor. Erikson “eğer etkilenmiş olabileceğini düşünüyorsanız varlıklarınızı yeni ve güvenli cüzdanlara taşımalısınız” dedi.
Tespiti zor ve ortaya çıkmamış zafiyetler kripto paralar için son derece riskli. Bu tarz açıkları çok daha üst düzey saldırganlar tespit edebiliyor ve hedef odaklı soygunları için kullanıyor. Bunlara 0day zafiyetleri ismi veriliyor. Henüz ortaya çıkmadığı için saldırganlar kendi kullanıp kazanç elde edebilir veya diğer profesyonel hackerlara bunu para karşılığında satabilir. Bu zafiyetin Eriksen fark etmeden önce başkaları tarafından istismar edilip edilmediği bu yüzden belirsiz.
