Crisis de Seguridad Evitada en el Ecosistema XRP
Una posible crisis de seguridad fue evitada por poco después de que un hacker explotara un token de acceso de un desarrollador para inyectar código malicioso en un kit de herramientas clave utilizado por aplicaciones en el XRP Ledger. La vulnerabilidad, identificada por el investigador de Aikido Security, Charlie Eriksen, podría haber llevado a un ataque mayor de la cadena de suministro en el ecosistema de criptomonedas.
Detalles del Ataque
El hacker utilizó un token de NPM para publicar versiones maliciosas de xrpl.js, la biblioteca oficial de JavaScript para interactuar con el XRP Ledger. Según Aikido Security, el atacante accedió al token del Node Package Manager (NPM) de un desarrollador, lo que le permitió publicar versiones comprometidas de xrpl.js. Con más de 140,000 descargas semanales, este paquete se encuentra ampliamente integrado en cientos de miles de aplicaciones y sitios web, lo que plantea preocupaciones sobre la magnitud de la brecha potencial.
“Esto podría haber sido catastrófico”
advirtió Eriksen en una actualización de seguridad, señalando que la falla teóricamente permitía a los atacantes robar claves privadas, poniendo en riesgo las wallets de criptomonedas. El código malicioso fue detectado el 21 de abril, cuando el sistema de monitoreo de Aikido identificó cinco versiones de paquetes sospechosas. Afortunadamente, plataformas importantes relacionadas con XRP, como Xaman Wallet y XRPScan, confirmaron que no se vieron afectadas por este incidente.
Respuesta y Consecuencias
El riesgo se limitó a aplicaciones de terceros que instalaron las versiones comprometidas (v4.2.1 a v4.2.4 y v2.14.2) durante una breve ventana antes de que el problema fuese contenido. La Fundación XRP Ledger respondió rápidamente, descontinuando las versiones afectadas y lanzando una actualización corregida (v4.2.5), instando a todos los desarrolladores que utilizan xrpl.js a realizar la actualización de inmediato. La fundación aclaró que la base de código principal del XRP Ledger y su repositorio de GitHub se mantuvieron intactos, ya que la vulnerabilidad se aisló a la biblioteca de JavaScript externa.
Si bien la identidad del hacker sigue siendo desconocida, Aikido Security insinuó que tiene pistas bajo investigación. A pesar del susto, los precios de XRP mostraron resiliencia, creciendo un 8.5% en las últimas 24 horas en medio de un rally más amplio del mercado de criptomonedas.
Fin de la Demanda de la SEC
La demanda de la SEC contra Ripple Labs concluye después de cuatro años. La disputa legal entre Ripple Labs y la Comisión de Bolsa y Valores de EE.UU. (SEC) ha llegado a su fin después de más de cuatro años, marcando un desarrollo significativo en la regulación de criptomonedas. En diciembre de 2020, la SEC presentó una demanda contra Ripple Labs, alegando que la compañía realizó una oferta de valores no registrada al vender tokens XRP, recaudando más de 1.3 mil millones de dólares. Ripple impugnó esta reclamación, argumentando que XRP es una moneda digital y no un valor.
En julio de 2023, la jueza del distrito de EE.UU., Analisa Torres, emitió un fallo mixto: determinó que las ventas de XRP a inversores institucionales violaron las leyes de valores, mientras que las ventas en intercambios públicos no incurrieron en dicha violación. Como consecuencia, se ordenó a Ripple pagar una multa civil de 125 millones de dólares.
Finalmente, en marzo de 2025, Ripple y la SEC alcanzaron un acuerdo. Bajo los términos del acuerdo, Ripple pagará 50 millones de dólares de la multa impuesta previamente, mientras que los restantes 75 millones de dólares serán devueltos a la compañía. Ambas partes acordaron retirar sus respectivos recursos, poniendo fin efectivamente a la litigación.
