Bug no XRP Ledger é corrigido após falha "grave" ser detectada na biblioteca XRPL

Um agente de ameaça aparentemente explorou o token de acesso do desenvolvedor do XRP Ledger para publicar código ilícito na rede em expansão, em uma ação que poderia ter sido “catastrófica” para a rede, segundo a equipe de segurança que detectou o problema. disse em uma atualização.

Charlie Eriksen, pesquisador da Aikido Security que primeiro identificou o problema, disse que um problema oculto foi adicionado às versões recentes de um novo kit de ferramentas usado para criar aplicativos que funcionam com o XRP Ledger.

“O token de acesso NPM de um desenvolvedor foi roubado pelos agentes da ameaça”, disse Aikido no X. “Não está claro como. Também não está claro quem são os agentes da ameaça (embora tenhamos um palpite que estamos tentando confirmar).”

O problema afeta apenas versões do Node Package Manager (NPM), um site onde desenvolvedores compartilham código reutilizável para projetos. Os principais serviços relacionados ao XRP, como Xaman Wallet e XRPScan, disseram que estavamnão afetadoem postagens X separadas.

Essa falha pode permitir que invasores roubem as chaves privadas dos usuários, possivelmente acessando suas carteiras de Cripto em teoria.

"Em 21 de abril, às 20:53 GMT+0, nosso sistema, Aikido Intel, começou a nos alertar sobre cinco novas versões do pacote xrpl. É o SDK oficial para o XRP Ledger, com mais de 140.000 downloads semanais", disse Eriksen em uma atualização de segurança.

"Este pacote é usado por centenas de milhares de aplicativos e sites, o que o torna um ataque potencialmente catastrófico à cadeia de suprimentos do ecossistema de Criptomoeda ", observou Eriksen.

Ele acrescentou que apenas aplicativos ou serviços de terceiros que instalaram versões defeituosas durante um breve período podem estar em risco.

Assim, a equipe da XRP Ledger Foundation corrigiu rapidamente o problema, lançando versões atualizadas da ferramenta para substituir as versões defeituosas. As versões afetadas (v4.2.1-4.2.4 e v2.14.2) foram descontinuadas.

"Para esclarecer: esta vulnerabilidade está no xrpl.js, uma biblioteca JavaScript para interação com o XRP Ledger. Ela NÃO afeta a base de código do XRP Ledger nem o repositório do GitHub em si. Projetos que usam xrpl.js devem atualizar para a versão 4.2.5 imediatamente", publicou a fundação separadamente.

Uma biblioteca JavaScript é uma coleção de código pré-escrito para simplificar tarefas de desenvolvimento web. Um repositório do GitHub é um espaço de armazenamento online para o código, arquivos e histórico de um projeto, hospedado no GitHub.

Os preços do XRP subiram 8,5% nas últimas 24 horas, juntamente com um salto mais amplo do mercado.