Una nueva versión del paquete xrpl.js, una biblioteca de JavaScript clave para interactuar con el XRP Ledger, ha desatado una importante advertencia de seguridad. La Fundación XRP Ledger reveló un problema crítico que podría poner en peligro la integridad de la cadena de suministro de la criptomoneda.
Esta vulnerabilidad fue identificada por Charlie Eriksen, investigador de malware en Aikido Security. Eriksen alertó sobre una puerta trasera inserta en el kit de desarrollo de software utilizado por miles de aplicaciones.
Impacto significativo en bibliotecas JavaScript
Según la divulgación oficial, las versiones comprometidas del paquete son v4.2.1 a v4.2.4 y v2.14.2, las cuales contienen la vulnerabilidad que podría permitir a los atacantes robar claves privadas y acceder sin autorización a los monederos de los usuarios.
Aunque la amenaza no afecta al código base de XRP Ledger ni a su repositorio en GitHub, el impacto potencial sobre servicios que dependan de estas bibliotecas JavaScript comprometidas podría ser significativo.
“El 21 de abril a las 20:53 GMT+0, nuestro sistema, Aikido Intel, nos alertó sobre cinco nuevas versiones del paquete xrpl . Se trata del SDK oficial del XRP Ledger, con más de 140.000 descargas semanales. Confirmamos rápidamente que el paquete oficial XPRL (Ripple) NPM fue comprometido por atacantes sofisticados que implementaron una puerta trasera para robar claves privadas de criptomonedas y obtener acceso a monederos de criptomonedas”, reveló Charlie Eriksen, investigador de malware en Aikido Security.
La Fundación XRP Ledger ha instado a todos los desarrolladores y usuarios que interactúan con el paquete xrpl.js a actualizar inmediatamente a la versión v4.2.5 para mitigar el riesgo. Este paso es esencial para prevenir el acceso no autorizado a los fondos almacenados en monederos que hayan sido expuestas a las versiones comprometidas.
El problema fue detectado en el Node Package Manager (NPM), una plataforma clave para compartir y gestionar paquetes de código JavaScript. Esta situación aumenta la preocupación por la magnitud del posible ataque.
“Advertencia crítica para cualquiera que utilice XRPL.js desde NPM”, expuso el CTO de Ripple, David Schwartz.
Con más de 140,000 descargas semanales, xrpl.js es utilizado en una variedad de aplicaciones dentro del ecosistema XRP. Este elemento lo convierte en un objetivo atractivo para los ciberdelincuentes.
¿Cómo proteger tus tokens XRP ante la vulnerabilidad?
A pesar de la gravedad de la situación, proyectos como Xaman Wallet y XRPScan han confirmado que sus servicios probablemente no fueron afectados por esta brecha de seguridad.
“Evite utilizar cualquier servicio que tenga acceso a su clave/semilla privada hasta que hayan confirmado que no están afectados (muchos de ellos, como @XamanWallet, @First_Ledger y @Gen3Games, ya lo han confirmado aquí)”, destacó Mayukha Vadari, Senior Software Engineer en RippleX.
Sin embargo, se recomienda a todos los usuarios que manejen XRP y otras criptomonedas en plataformas que usen xrpl.js que asuman que cualquier clave privada procesada con las versiones comprometidas podría haber sido vulnerada. En resumen, algunas recomendaciones importantes son:
- Actualizar las bibliotecas: Es crucial que todos los desarrolladores actualicen xrpl.js a la versión v4.2.5. Esta actualización corrige la vulnerabilidad y elimina el código malicioso que se había infiltrado en versiones anteriores.
- Monitorear los monederos: Si has utilizado alguna de las versiones afectadas, cambia inmediatamente las claves privadas de tus monederos y transfiere tus fondos a nuevas direcciones. No confíes en claves procesadas con el código comprometido.
- Revisar aplicaciones y servicios: Asegúrate de que las plataformas que usas para gestionar XRP o interactuar con XRP Ledger no estén basadas en versiones vulnerables de xrpl.js. Si tienes dudas, comunícate con el soporte técnico para obtener confirmación sobre el estado de seguridad.
El descubrimiento de esta vulnerabilidad resalta la importancia de la seguridad en las herramientas utilizadas dentro de blockchain y criptomonedas. A medida que más aplicaciones dependen de librerías de código abierto, la necesidad de una vigilancia constante y actualizaciones rápidas se vuelve aún más crucial.
eToro
eToro
eToro
eToro
YouHodler
Wirex
OKX
Bit2Me
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
