Ripple vừa xác nhận một cuộc tấn công chuỗi cung ứng nghiêm trọng ảnh hưởng đến hệ sinh thái XRP Ledger (XRPL), cụ thể là các ví DeFi sử dụng thư viện phần mềm xrpl.js được phát hành qua NPM (Node Package Manager) – một nền tảng phổ biến dành cho các nhà phát triển JavaScript.
Mã độc được cài trong phiên bản chính thức của ví XRP Ledger
Vụ việc được phát hiện bởi công ty an ninh mạng Aikido Security, khi họ phát hiện 5 bản cập nhật đáng ngờ trong gói xrpl.js – bộ SDK chính thức của Ripple với hơn 140.000 lượt tải mỗi tuần. Hacker đã lén chèn một cửa hậu tinh vi (backdoor) vào các phiên bản từ 4.2.1 đến 4.2.4, cho phép đánh cắp khóa riêng và truy cập trái phép vào các ví tiền điện tử.
“Chúng tôi đã phát hiện cửa hậu trong gói xrpl chính thức trên NPM. Cửa hậu này có khả năng đánh cắp private key và gửi đến hacker.” — Aikido Security
Ripple đã ngay lập tức dừng sử dụng các phiên bản bị nhiễm và phát đi cảnh báo đến cộng đồng phát triển. Công ty cho biết họ đang tiến hành điều tra sâu hơn, nhưng hiện chưa rõ có bao nhiêu người dùng hoặc tài sản đã bị ảnh hưởng.
XEM THÊM
XRPL không bị ảnh hưởng trực tiếp, nhưng rủi ro vẫn cao
Ripple nhấn mạnh rằng lỗ hổng này không ảnh hưởng trực tiếp đến XRPL hoặc giao thức lõi, mà chỉ tác động đến các dự án DeFi phụ thuộc vào gói xrpl.js bị nhiễm mã độc. Tuy nhiên, việc mã độc được phân phối thông qua kênh chính thức của Ripple đã khiến nhiều nhà phát triển không kịp phát hiện nguy cơ.
Hiện tại, các ví DeFi xây dựng trên XRPL đang nắm giữ khoảng 80 triệu USD tài sản, trong đó chỉ cần một phần nhỏ bị truy cập trái phép cũng có thể gây ra thiệt hại nghiêm trọng.
Tấn công chuỗi cung ứng: Mối đe dọa âm thầm nhưng nguy hiểm
Đây là một ví dụ điển hình về tấn công chuỗi cung ứng, nơi hacker không nhắm vào người dùng cuối mà tấn công trực tiếp các công cụ phát triển, từ đó phát tán mã độc cho hàng nghìn ứng dụng phụ thuộc.
“Chúng tôi đang làm việc với cộng đồng để rà soát và ngăn chặn triệt để mọi ảnh hưởng tiềm tàng.”
— David Schwartz, Giám đốc Công nghệ Ripple chia sẻ
“Chúng tôi sẽ sớm công bố phân tích kỹ thuật chi tiết để các nhà phát triển có thể đánh giá và cập nhật hệ thống của mình.”
— Mayukha Vadari, Kỹ sư phần mềm cấp cao tại Ripple chia sẻ.
Tổ chức XRP Ledger Foundation cũng xác nhận rằng nhiều ví DeFi lớn không sử dụng các phiên bản bị xâm nhập và sẽ sớm đưa ra báo cáo đầy đủ về tác động của vụ việc.
Một chiến dịch có tổ chức và quy mô
Không chỉ dừng ở gói xrpl.js, hacker còn xâm nhập cả thư viện dùng trong các giao thức DeFi tương tác với XRP, cho thấy đây là một chiến dịch có tổ chức, phức tạp và có thể để lại hệ lụy lâu dài đối với toàn bộ hệ sinh thái XRP.
Ripple khuyến cáo tất cả nhà phát triển nên kiểm tra lại phiên bản SDK đang sử dụng, hoàn nguyên về bản an toàn (trước 4.2.1), và tiến hành rà soát hệ thống bảo mật để đảm bảo không bị ảnh hưởng.
