La Fundación XRP hizo la primera declaración sobre una vulnerabilidad de seguridad que podría resultar en el robo de los activos de los usuarios: "Debería actualizarse de inmediato"

Se descubrió una grave vulnerabilidad de software en una versión recientemente actualizada de la biblioteca de desarrollo de JavaScript de XRP Ledger, y se emitió una alerta en toda la comunidad de desarrolladores de criptomonedas.

La Fundación XRP Ledger anunció que se encontró una vulnerabilidad en múltiples versiones del paquete xrpl JavaScript, que es un kit de desarrollo de software utilizado comúnmente para interactuar con XRP Ledger.

Según la fundación, esto fue descubierto por Charlie Eriksen, un investigador de malware en Aikido Security, quien describió el problema como un ataque de cadena de suministro “potencialmente destructivo”.

Eriksen advirtió que “Esta vulnerabilidad podría permitir que personas malintencionadas roben las claves privadas de los usuarios y obtengan acceso no autorizado a las carteras”, pero la incertidumbre sobre si algún usuario se ve directamente afectado persiste.

Las versiones afectadas incluyen desde v4.2.1 hasta v4.2.4 y v2.14.2. Desde entonces, el equipo de ingeniería de XRP Ledger ha lanzado la versión v4.2.5, que invalida los paquetes comprometidos. Se recomienda encarecidamente a los usuarios y desarrolladores que confían en las versiones afectadas que actualicen de inmediato.

La fundación dijo lo siguiente en su declaración de seguimiento a través de las redes sociales:

“Para aclarar: Esta vulnerabilidad se encuentra en xrpl.js, que es una biblioteca de JavaScript para interactuar con XRP Ledger. No afecta la base de código de XRP Ledger ni el propio repositorio de GitHub.”

El código malicioso parece haber sido introducido a través de Node Package Manager (NPM), una plataforma comúnmente utilizada para compartir paquetes de JavaScript. Proyectos como Xaman Wallet y XRPScan han confirmado que sus servicios probablemente no se verán afectados ya que no adoptaron las versiones comprometidas.

La Fundación XRP Ledger indicó que se publicará un post-mortem completo sobre el incidente cuando se obtenga más información sobre cómo se utilizó el backdoor.