本月,XRPL(XRP Ledger)代码库中发现的一个严重逻辑漏洞被成功避免,最近的一篇博客文章指出。
安全研究人员发现了一个漏洞,可能允许攻击者在无需用户私钥的情况下窃取钱包资金。
该漏洞在提议的“批处理”修正案(XLS-56)中被发现,早在本月由独立研究员Pranamya Keshkamat和一款名为Apex的自主AI安全工具识别。
热点新闻
关键的XRP Ledger批处理修正案漏洞可能导致用户钱包被盗
加密市场回顾:XRP波动性收缩是一份价值2美元的配方,狗狗币(DOGE)在二月会不会实现零清除?柴犬币(SHIB)的牛市还未成型
该修正案仍处于投票阶段,尚未在XRPL主网激活。因此,用户资金没有受到威胁或丢失。
漏洞说明
批处理修正案允许将多个“内部”交易组合在一起。
这些内部交易故意不签名,以节省处理能力。相反,授权委托给外部批处理的签名者列表。
一个关键的循环错误导致在调用签名者的过程中出现重大漏洞。
如果系统遇到一个尚未在账本上存在的账户的签名者,并且签名密钥与该新账户匹配,系统会立即判定验证成功,然后提前退出循环,绕过验证者检查。
攻击者可以利用特定的批量交易序列来利用上述漏洞。
如果在此发现之前,批处理修正案已在主网激活,XRPL生态系统可能会遭受严重打击。攻击者可能窃取资金、修改账本状态,甚至破坏生态系统的稳定。
本周早些时候,开发者发布了Rippled 3.1.1参考服务器软件。此次紧急补丁明确标记批处理修正案为不支持。
已开发出一项全面修复方案,移除提前退出的循环,并增加更严格的授权保护措施,目前正在进行严格的同行评审。
相关文章
