本月,XRPL(XRP Ledger)代码库中发现的一个严重逻辑漏洞被成功避免,最近的一篇博客文章指出。
安全研究人员发现了一个漏洞,可能允许攻击者在无需用户私钥的情况下窃取钱包资金。
该漏洞在提议的“批处理”修正案(XLS-56)中被发现,早在本月由独立研究员Pranamya Keshkamat和一款名为Apex的自主AI安全工具识别。
热点新闻
关键的XRP Ledger批处理修正案漏洞可能导致用户钱包被盗
加密市场回顾:XRP波动性收缩是一份价值2美元的配方,狗狗币(DOGE)在二月会不会实现零清除?柴犬币(SHIB)的牛市还未成型
该修正案仍处于投票阶段,尚未在XRPL主网激活。因此,用户资金没有受到威胁或丢失。
漏洞说明
批处理修正案允许将多个“内部”交易组合在一起。
这些内部交易故意不签名,以节省处理能力。相反,授权委托给外部批处理的签名者列表。
一个关键的循环错误导致在调用签名者的过程中出现重大漏洞。
如果系统遇到一个尚未在账本上存在的账户的签名者,并且签名密钥与该新账户匹配,系统会立即判定验证成功,然后提前退出循环,绕过验证者检查。
攻击者可以利用特定的批量交易序列来利用上述漏洞。
如果在此发现之前,批处理修正案已在主网激活,XRPL生态系统可能会遭受严重打击。攻击者可能窃取资金、修改账本状态,甚至破坏生态系统的稳定。
本周早些时候,开发者发布了Rippled 3.1.1参考服务器软件。此次紧急补丁明确标记批处理修正案为不支持。
已开发出一项全面修复方案,移除提前退出的循环,并增加更严格的授权保护措施,目前正在进行严格的同行评审。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
摩根大通、Ripple、万事达 在 XRP Ledger 上执行代币化国库试点
摩根大通、Ripple、万事达卡和 Ondo Finance 已完成一项试点交易,使用 XRP Ledger 区块链和传统银行基础设施,将代币化的美国国债在跨境范围内进行转移。Ripple 于周三在 X(原 Twitter)上宣布了该试点,称该转移交易
Crypto Frontier5小时前
摩根大通、万事达卡完成 XRP 帐本「首次」跨境美债代币化结算
根据 Ondo Finance 于 5 月 6 日(周三)发布的官方声明,摩根大通(JPMorgan)与万事达卡(Mastercard)已完成首次跨境、跨银行的美国国债代币化基金赎回,借助了 Ripple 的 XRP 账本及银行间结算系统。
Market Whisper7小时前
XRP 现货 ETF 昨夜实现 1303 万美元的合计流入;Bitwise XRP ETF 领跑
据 ChainCatcher 援引 SoSoValue 数据,美国 XRP 现货 ETF 在隔夜时间录得合计 1303 万美元的净流入(5 月 6 日)。Bitwise XRP ETF(XRP)以 733 万美元的单日净流入领跑,使其历史累计净流入达到 4.34 亿美元。Franklin XRP ETF(XRPZ)随后以 5 美元的净流入跟进,并使其历史累计净流入达到 1.75 亿美元。
GateNews9小时前
摩根大通、Ripple 和万事达完成在 XRP Ledger 上的跨境代币化国库交易
根据 Ripple 和 Ondo 的说法,JPMorgan、Ripple、Mastercard 和 Ondo 于周三在 XRP Ledger 上完成了一笔跨境代币化美国国债的交易。该试点包括 Ondo 在 XRP Ledger 上处理其 OUSG 链上基金赎回,随后 Mastercard 按照通过 JPMo 进行路由指令的方式转发指令
GateNews12小时前
