Críticas de Peter Todd a Ripple
En una reciente publicación en las redes sociales, Peter Todd, el destacado desarrollador canadiense de Bitcoin, reconocido como el candidato más probable a Satoshi Nakamoto en un documental de HBO de 2024, criticó a Ripple tras descubrirse una puerta trasera en la biblioteca de JavaScript utilizada para el XRP Ledger (XRPL). Todd recordó haber advertido sobre tal vulnerabilidad hace una década.
Descubrimiento de la Vulnerabilidad
Según informó U.Today, el CTO de Ripple, David Schwartz, alertó recientemente sobre un código malicioso en la biblioteca, detectado inicialmente por Aikido Security. Esta puerta trasera permitía el envío de claves privadas a un dominio sospechoso, lo que facilita ataques destinados a robar las claves privadas de quienes utilizan las versiones comprometidas del kit de desarrollo de software (SDK) de XRPL.
Advertencias Previas de Todd
Previamente, Todd había publicado un documento en el que afirmaba que la seguridad de Ripple podría verse comprometida porque no proporcionaron una firma criptográfica PGP para verificar su código. Esto podría permitir que hackers inyectaran código malicioso y distribuyeran una versión falsa del software. Irónicamente, este tipo de ataque se materializó una década después, con un compromiso de la biblioteca NPM que resultó en la puerta trasera maliciosa.
Reconocimiento de Schwartz
Notablemente, Schwartz admitió que la advertencia de Todd era válida “
en aquel momento
” en febrero. Sin embargo, Todd también ha reconocido que su propia biblioteca de software no está firmada por PGP, ya que el Índice de Paquetes de Python (PyPi) dejó de soportar tales descargas.
“Justamente, en este momento, mi biblioteca python-bitcoinlib no está firmada por PGP para la mayoría de los usuarios porque PyPi tomó la decisión errónea de eliminar las firmas PGP. Pero mis manos están atadas en eso; toda la industria del software es incompetente”
, declaró.
