A Fundação do Ledger XRP remete uma vulnerabilidade crítica no SDK oficial JavaScript que poderia permitir que os atacantes roubem chaves privadas e drenam carteiras de criptomoeda.
Em 22 de abril, a XRP Ledger Foundation lançou uma versão atualizada do pacote NPM do XRP Ledger, removendo o código comprometido e restaurando os recursos seguros dos desenvolvedores na rede.
O pacote XRPL NPM é a biblioteca oficial JavaScript/TypeScript para interagir com o Ledger XRP. Os desenvolvedores o usam para se conectar à rede, gerenciar carteiras, enviar transações e criar aplicativos distribuídos usando recursos XRPL.
A atualização ocorre apenas algumas horas depois que a empresa de segurança blockchain Aikido sinalizou atividades suspeitas em cinco versões recém -lançadas da biblioteca.
De acordo com um relatório do Aikido, os maus atores publicaram versões falsas dos pacotes para o NPM a partir de 4.2.1. Essas versões não correspondiam ao lançamento oficial do Github, uma bandeira vermelha precoce que ajuda os sistemas automatizados da Aikido a detectar anomalias.
Em particular, os maus atores “colocaram backdoors para roubar chaves de criptomoeda particulares e permitir acesso às carteiras de criptomoeda”.
Esses pacotes malformados continham código oculto que sugou silenciosamente a chave privada controlando o domínio malicioso 0x9c.xyz. Sempre que uma nova carteira era criada, uma função maliciosa era desencadeada, entregando efetivamente o controle dos fundos ao invasor.
Aikido rotulou a vulnerabilidade como “potencialmente catastrófica” e a chamou de um dos piores tipos de ataques da cadeia de suprimentos em criptografia.
Com mais de 140.000 downloads semanais no pacote XRPL e incorporados em centenas de milhares de sites e aplicativos, o backdoor poderia comprometer silenciosamente a tira maciça do ecossistema XRP.
Os atacantes foram vistos melhorando pacotes maliciosos a cada liberação. As versões iniciais (4.2.1 e 4.2.2) incluíram apenas alterações nos arquivos JavaScript construídos que provavelmente evitariam causar dúvidas durante as revisões típicas de código. Versões posteriores, como 4.2.3 e 4.2.4, injetou código malicioso diretamente no arquivo de origem do TypeScript, permitindo que a carga útil durasse durante toda a compilação.
Os pesquisadores da Aikido pediram aos usuários que parassem de usar a versão afetada e girar quaisquer chaves privadas ou frases de sementes que possam ter sido publicadas. Também recomendamos uma atualização para a versão 4.2.5 ou 2.14.3 com logs e patches de rede de varredura para conexões ao domínio 0x9c.xyz.
Em uma atualização de acompanhamento, a Fundação confirmou que os pacotes comprometidos foram removidos e que projetos importantes como XRPScan, Primeiro Ledger e Jogos Gen3 não foram afetados.
O incidente não agitou os comerciantes. O XRP cresceu 7,4% nas últimas 24 horas e estava sendo negociado a US $ 2,24 no momento da redação.
Como relatou o Crypto.News, o Ledger do XRP enfrentou outro grande incidente no início deste ano, quando as interrupções da verificação de transações fecharam a rede em 5 de fevereiro por quase uma hora. No entanto, nenhuma perda de dados foi relatada durante o incidente.
