في منشور حديث على وسائل التواصل الاجتماعي، انتقد بيتر تود، المطور الكندي البارز في مجال البيتكوين والذي تم التعرف عليه كأكثر مرشح محتمل لساتوشي ناكاموتو في وثائقي HBO عام 2024، شركة ريبل بعد اكتشاف ثغرة خلفية في مكتبة جافا سكريبت المستخدمة في دفتر الأستاذ الخاص بـ XRP (XRPL).
تحذير قديم يتحقق
ذكر تود أنه حذر من مثل هذه الثغرة الأمنية قبل عقد من الزمن. وفقًا لتقارير U.Today، حذر ديفيد شوارتز، المدير التقني لريبل، مؤخرًا من وجود كود ضار في المكتبة تم اكتشافه لأول مرة من قبل شركة Aikido Security. هذه الثغرة تسمح بإرسال المفاتيح الخاصة إلى نطاق مشبوه، مما يمكّن المهاجمين من سرقة المفاتيح الخاصة لمستخدمي إصدارات معرضة للخطر من حزمة تطوير برمجيات XRPL (SDK).
مخاوف أمنية متكررة
سبق أن نشر تود ورقة بحثية زعم فيها أن أمان ريبل قد يكون معرضًا للخطر بسبب عدم توقيع شهادات PGP التشفيرية للتحقق من صحة الكود. هذا قد يسمح للمخترقين بحقن كود ضار وتوزيع نسخ مزيفة من البرمجيات. ومن المفارقات، أن هجومًا مشابهًا حدث بعد عشرة أعوام، حيث أدى اختراق NPM إلى ظهور هذه الثغرة الخلفية.
جدير بالذكر أن شوارتز اعترف بأن تحذيره كان صحيحًا “في ذلك الوقت” في فبراير الماضي.
اعتراف من تود
في المقابل، اعترف تود أن مكتبته البرمجية الخاصة ليست موقعة بـ PGP لأن فهرس حزم بايثون (PyPi) توقف عن دعم هذه الميزة. وقال: “للإنصاف، في الوقت الحالي، مكتبة python-bitcoinlib الخاصة بي غير موقعة بـ PGP لمعظم المستخدمين لأن PyPi اتخذت قرارًا خاطئًا بإيقاف التوقيعات. لكن يدي مقيدة؛ صناعة البرمجيات بأكملها غير كفؤة.”
الأسئلة الشائعة
- ما هي الثغرة التي تم اكتشافها في XRPL؟
تم اكتشاف ثغرة خلفية في مكتبة جافا سكريبت تسمح بسرقة المفاتيح الخاصة للمستخدمين عبر إرسالها إلى نطاق مشبوه. - هل حذر بيتر تود من هذه المشكلة مسبقًا؟
نعم، حذر تود من ثغرة أمنية مشابهة قبل عشر سنوات بسبب عدم استخدام توقيعات PGP للتحقق من صحة الكود. - ما هو موقف ريبل من هذه الثغرة؟
اعترف المدير التقني لريبل، ديفيد شوارتز، بوجود المشكلة في فبراير الماضي، لكنها تم إصلاحها لاحقًا.
