XRP Ledger планирует обновление пакетного изменения после отчета об ошибке

Разработчики XRP Ledger (XRPL) дали сигнал о следующих шагах после обнаружения серьезной уязвимости через программу Bug Bounty.

В недавней публикации в X валидатор Vet изложил развитие событий, связанных с исправлением batch и то, что сообщество может ожидать в ближайшее время.

20 февраля Фонд XRP Ledger сообщил, что получил отчет об ошибке, связанную с исправлением batch, через программу Bug Bounty. Организация подчеркнула, что XRPL не пострадал от этой уязвимости, и сеть остается безопасной. В то время как рассматривается отчет, отправленный сообществом, Фонд XRP Ledger призвал валидаторов проголосовать за вето (veto) по поводу исправления batch.

Vet отметил:

Хотя конкретные сроки еще не определены, Vet считает, что следующими разумными шагами могут быть:

В последнем обновлении в X Фонд XRP Ledger сообщил, что исправление находится в стадии завершения и проходит дополнительные проверки перед интеграцией в новую версию программного обеспечения. В то же время организация готовится к выпуску официальной версии, которая устранит текущий исправление batch, еще раз подтверждая, что XRP Ledger остается неуязвимым и продолжает безопасную работу.

Уязвимость в исправлении batch

Согласно ранее предоставленной информации, уязвимость была обнаружена как раз перед тем, как исправление batch набрало достаточное количество голосов для активации. Предложение batch transactions позволяет выполнять множество транзакций атомарно, что облегчает разработчикам создание приложений с возможностью прямого получения дохода на блокчейне.

Это обновление давно ожидаемо сообществом, поскольку оно позволяет внедрять платные функции, автоматизировать процессы и развивать приложения с встроенной моделью дохода прямо на блокчейне.

Кроме того, была обнаружена другая уязвимость в исправлении под названием fixbatchinnersigs — предназначенная для устранения ситуации, когда внутренние транзакции (inner transactions) в batch transaction помечаются как с действительной подписью.

В недавнем сообщении на блоге XRPL Ripple сообщил, что произвел ротацию (rotate) GPG-ключа, используемого для подписания пакетов rippled.

Пользователям рекомендуется скачать и доверять новому ключу, чтобы избежать проблем при предстоящих обновлениях, поскольку автоматическая процедура обновления может не сработать, если новый ключ не был подтвержден. Пользователям XRPL необходимо добавить GPG-ключ Ripple и проверить отпечаток (fingerprint) нового ключа, чтобы обеспечить гладкий процесс обновления.