- Backdoor em pacotes NPM XRPL.js chaves privadas expostas nas versões 4.2.1 a 4.2.4
- Apenas a distribuição do NPM foi comprometida, o repositório do GitHub permanece inalterado
- A versão 4.2.5 foi lançada rapidamente para corrigir vulnerabilidades e proteger ambientes de desenvolvedor
Uma violação crítica de segurança abalou a comunidade de desenvolvimento do XRP após a descoberta de um backdoor nas versões 4.2.1 a 4.2.4 do pacote XRPL.js NPM. O código malicioso, presente nas versões 4.2.1 a 4.2.4, era capaz de roubar as chaves privadas dos usuários e transmiti-las aos invasores.
Isso levou o diretor de tecnologia da Ripple, David Schwartz, a emitir um aviso público. Os desenvolvedores que usam essas versões comprometidas são fortemente aconselhados a tratar todas as credenciais expostas como comprometidas.
Violação Limitada ao MNP; Core Ledger Seguro
A violação, relatada pela primeira vez pela Aikido Security, revelou que a distribuição do NPM de XRPL.js foi alterada com código de roubo de chaves; o repositório GitHub não foi afetado. Isso sugere que apenas o canal NPM foi comprometido.
Relacionado: Stablecoin RLUSD da Ripple entra em operação para empréstimos, empréstimos no Aave V3
Consequentemente, os desenvolvedores que usam fontes confiáveis como o GitHub permanecem inalterados. A engenheira sênior da RippleX, Mayukha Vadari, confirmou que o XRP Ledger ainda está seguro e operando normalmente.
Correção rápida emitida, ecossistema responde
Em menos de 24 horas, as versões maliciosas foram removidas do NPM. Uma versão segura, 4.2.5, foi publicada como uma correção. Além disso, os usuários que operam na ramificação 2.x podem usar com segurança a versão 2.14.3. A ação rápida da XRP Ledger Foundation e da equipe de desenvolvimento mais ampla da Ripple ajudou a conter o que poderia ter sido uma ameaça generalizada.
Relacionado: Os sonhos de listagem pública da Ripple dependem da decisão de venda de um juiz
A exploração levantou preocupações em toda a comunidade de desenvolvedores de blockchain, particularmente serviços que integram XRPL.js. Os provedores de carteira Xaman, First Ledger e Gen3Games anunciaram que não foram comprometidos. A XRP Ledger Foundation também removeu os pacotes maliciosos.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
