XRP Ledger基金会宣布,已修复Ripple XRP Ledger即将修订中的一个关键漏洞,阻止了可能成为重大安全漏洞的发生。
2月19日,网络安全公司Cantina的安全工程师Pranamya Keshkamat与Cantina AI安全机器人一起,发现了Ripple XRP Ledger签名验证过程中存在“关键逻辑漏洞”,XRP Ledger基金会周四报道。
该漏洞可能使不良行为者能够从用户账户发起交易——包括资金转移——而无需访问受害者的私钥。
拟议的“批次”修正案(XLS-56)仍在投票中,尚未在XRP Ledger主网上线,这意味着用户资金从未面临风险或受到影响。
全球“按美元计算的最大安全黑客事件”
据XRP Ledger基金会称,该漏洞不仅存在资金盗窃和账本篡改的风险,还可能破坏整个生态系统的稳定。
“成功的大规模利用可能会严重丧失对XRPL的信心,并可能对更广泛的生态系统造成重大干扰。”
批处理修正案旨在允许多个“内部”交易捆绑在一起。这些内部事务保持未签名以降低处理能力,授权由外部批的指定签名者负责。但签名者呼叫机制中的一个关键环路错误造成了重大安全漏洞。
如果系统发现一个与账本上尚未存在账户关联的签名者,且签名密钥与该新账户匹配,系统会立即将验证标记为成功。随后循环会提前退出,绕过关键验证者检查。攻击者可能利用特定的批量交易序列来利用这一漏洞。
Cantina和Spearbit首席执行官Hari Mulackal在X上的一篇帖子中指出:“@Ripple团队迅速响应我们的披露,及时通知了验证者,验证者迅速投票否决了原定于三月上线的升级。”
“如果这次事件被利用,这将成为全球以美元计最大的安全黑客事件,直接面临近800亿美元的风险,”他补充道,或许指的是XRP当前的市值。
XRP Ledger基金会报告称,验证者被指示投票否决该修正案,本周早些时候发布了紧急更新(Rippled 3.1.1),以防止该修正案被激活。
