本月內,XRP Ledger(XRPL)程式碼庫中一個嚴重的邏輯缺陷被及時避免,一篇最新的部落格文章指出。
安全研究人員發現了一個漏洞,可能讓攻擊者在不需要用戶私鑰的情況下,竊取用戶錢包資金。
該漏洞在提議的「Batch」修正案(XLS-56)中被發現,早在本月由獨立研究員Pranamya Keshkamat和一個名為Apex的自主AI安全工具識別。
熱門消息
關鍵的XRP Ledger Batch修正案漏洞可能已竊取用戶錢包資金
加密市場回顧:XRP波動性收縮是一個2美元的配方,狗狗幣(DOGE)在二月會不會零價清除?柴犬幣(SHIB)牛市尚未成形
該修正案仍處於投票階段,尚未在XRPL主網上啟用。因此,沒有用戶資金面臨風險或損失。
漏洞說明
Batch修正案允許多個「內部」交易被分組在一起。
這些內部交易故意不簽名,以節省處理能力。相反,授權委託給外層批次的簽名者名單。
一個關鍵的循環錯誤導致在調用簽名者的過程中出現重大漏洞。
如果系統遇到一個帳戶的簽名者,而該帳戶尚未在帳本上存在,且簽名密鑰與該新帳戶匹配,系統會立即宣告驗證成功。然後提前退出循環,避免驗證者檢查。
攻擊者可以利用特定的批次交易序列來利用上述漏洞。
如果在此發現之前,Batch修正案已在主網上啟用,XRPL生態系統可能會遭受嚴重打擊。攻擊者可能竊取資金、修改帳本狀態,並破壞生態系統的穩定。
本週早些時候,開發者發布了Rippled 3.1.1參考伺服器軟體。這個緊急修補程式明確標記Batch修正案為不支援。
一個全面的修正方案已經開發完成,將移除提前退出的循環並加入更嚴格的授權保護,目前正進行嚴格的同行評審。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
XRP ETF 儘管市場波動仍錄得 14 億美元淨流入
追蹤加密貨幣 XRP 的交易所交易基金 (ETFs) 自推出以來已累計吸引約 14 億美元資金流入,根據彭博情報分析師的最新數據顯示。這些數據表明投資者對基於 XRP 的投資產品保持持續興趣
Crypto Breaking58分鐘前
$0 XRP ETF淨流量可能對價格反彈有利 - U.Today
XRP ETFs報告$0 淨流入24小時內,表明在三天的密集機構拋售後出現停止。這種穩定性表明潛在的積累和價格反彈,儘管最近在$1.37至$1.41之間停滯。
UToday1小時前
Ripple 計劃回購$750M 股份,儘管 XRP 價格下跌
Ripple計劃在下月底前從投資者和員工手中回購最高$750 百萬股份,業內人士透露。
這次回購將使公司估值達到$50 十億,距離六個月前類似的$1 十億股份回購計劃失敗後,又推出了新計劃。
CryptoNewsFlash1小時前
不甩幣市寒冬!Ripple 斥 7.5 億美元回購股票,公司估值飆至 500 億美元
瑞波公司啟動股票回購計畫,推動估值升至500億美元,穩居加密貨幣行業前列。回購將透過要約收購方式,回購至多7.5億美元股票。該公司積極擴展業務,從跨境清算工具進化為全方位數位資產基礎設施,並吸引多家頂級機構投資。
区块客2小時前
