Alerta de Seguridad en la Comunidad XRP
La comunidad XRP ha recibido una alerta de seguridad crítica tras un reciente tuit de la plataforma de seguridad Aikido Security. En este tuit, Aikido Security informó haber descubierto una puerta trasera en el paquete oficial XRPL NPM, una biblioteca muy utilizada para integrar aplicaciones JavaScript/TypeScript con el XRP Ledger, especialmente cuando se requiere funcionalidad avanzada.
Descripción del Problema
Esta puerta trasera roba claves privadas y las envía a los atacantes, lo que ha llevado a emitir una alerta urgente a todos los desarrolladores y proyectos relacionados con XRP. Se advierte encarecidamente a los desarrolladores que verifiquen que su proyecto no esté utilizando la última versión de npm, ya que podría comprometer todas las cuentas creadas con la biblioteca.
Las versiones comprometidas del paquete XRPL NPM son las 4.2.1, 4.2.2, 4.2.3 y 4.2.4. Thomas Silkjaer, Jefe de Análisis y Cumplimiento en InFTF, retuiteó la publicación de Aikido Security y emitió una advertencia, instando a los usuarios:
“Tengan cuidado. Asegúrense de que su proyecto no esté utilizando la última versión de NPM, ya que comprometerá todas las cuentas creadas con la biblioteca”.
Vet, un validador en XRPL, reiteró una advertencia similar:
“Desarrolladores y proyectos de XRP Ledger: si utilizan la biblioteca XRPL JS, no actualicen ni usen ninguna versión 4.2.1 o superior. Está comprometida; cualquier proyecto que utilice la última versión de XRPL JS está poniendo en riesgo a sus usuarios y fondos. Por favor, informen a cada proyecto y desarrollador sobre esto”.
Alertas de Proveedores de Infraestructura
El proveedor de infraestructura Alloy Network también emitió una alerta urgente mientras compartía la advertencia de Aikido Security:
“Esto está verificado. La última versión del paquete npm está comprometida. Regrésen a una versión anterior si están en la última, inmediatamente”.
Denis Angell, ingeniero de software en XRPL Labs y Xahau, confirmó que la versión estable actual de xrpl.js es la 4.2.0. Por su parte, Xaman Builder, de XRPL Labs, aclaró que:
“El paquete xrpl.js NPM comprometido no afecta a Xaman Wallet. Xaman utiliza infraestructura interna y bibliotecas desarrolladas por XRPL Labs. No dependemos de bibliotecas de terceros como xrpl.js para manejar claves privadas o transacciones, por lo que nuestros usuarios no se ven afectados”.
