Éviter une crise de sécurité
Une crise de sécurité potentielle a été évitée de justesse après qu’un hacker a exploité le jeton d’accès d’un développeur pour injecter un code malveillant dans un ensemble d’outils clés utilisés par des applications sur le XRP Ledger.
La vulnérabilité, identifiée par le chercheur en sécurité d’Aikido, Charlie Eriksen, aurait pu mener à une attaque majeure dans l’écosystème des crypto-monnaies. Le hacker a exploité un jeton Node Package Manager (NPM) pour publier des versions malveillantes de la bibliothèque xrpl.js sur le XRP Ledger.
Les risques et les conséquences
Selon Aikido Security, l’attaquant a obtenu l’accès à un jeton NPM d’un développeur, lui permettant de mettre en ligne des versions compromises de xrpl.js, la bibliothèque JavaScript officielle pour interagir avec le XRP Ledger. Avec plus de 140 000 téléchargements hebdomadaires, ce paquet est largement intégré dans des centaines de milliers d’applications et de sites Web, soulevant des inquiétudes quant à l’échelle potentielle de la violation.
« Cela aurait pu être catastrophique », a mis en garde Eriksen dans une mise à jour de sécurité, notant que la faille permettait théoriquement aux attaquants de voler des clés privées, mettant ainsi en danger les portefeuilles de crypto-monnaies.
Le code malveillant a été détecté le 21 avril, lorsque le système de surveillance d’Aikido a signalé cinq versions de paquets suspectes. Heureusement, des plateformes majeures liées au XRP, telles que Xaman Wallet et XRPScan, ont confirmé qu’elles n’étaient pas affectées.
Réaction rapide et mesures de sécurité
Le risque était limité aux applications tierces qui avaient installé les versions compromises (v4.2.1 à v4.2.4 et v2.14.2) pendant une courte période avant que le problème ne soit contenu. La XRP Ledger Foundation a réagi rapidement en déclassant les versions affectées et en publiant une mise à jour corrective, la v4.2.5, exhortant tous les développeurs utilisant xrpl.js à mettre à jour immédiatement.
La fondation a précisé que la base de code principale du XRP Ledger et son dépôt GitHub restaient intacts, car la vulnérabilité était isolée à la bibliothèque JavaScript externe. Bien que l’identité du hacker reste inconnue, Aikido Security a laissé entendre qu’elle avait des pistes sous enquête.
Impact sur le marché des crypto-monnaies
Malgré cette frayeur, les prix du XRP ont montré une résilience, augmentant de 8,5 % au cours des dernières 24 heures, au cœur d’un rallye plus large sur le marché des crypto-monnaies.
Contexte légal concernant Ripple Labs
De plus, la poursuite de la SEC contre Ripple Labs se termine après *quatre ans*. Le litige légal entre Ripple Labs et la Securities and Exchange Commission (SEC) des États-Unis s’est achevé, marquant un développement significatif dans la réglementation des crypto-monnaies.
En décembre 2020, la SEC a déposé une plainte contre Ripple Labs, alléguant que la société avait procédé à une offre de titres non enregistrée en vendant des jetons XRP, levant plus de 1,3 milliard de dollars. Ripple a contesté cette accusation, arguant que le XRP constitue une monnaie numérique et non un titre.
En juillet 2023, la juge de district des États-Unis, Analisa Torres, a rendu une décision mixte : elle a déterminé que les ventes de XRP à des investisseurs institutionnels violaient les lois sur les titres, tandis que les ventes sur des échanges publics n’en constituaient pas une violation. Par conséquent, Ripple a été condamné à une amende civile de 125 millions de dollars.
En mars 2025, Ripple et la SEC ont conclu un accord, dans lequel Ripple paierait 50 millions de dollars de l’amende précédemment imposée, les 75 millions de dollars restants étant retournés à la société. Les deux parties ont convenu de renoncer à leurs appels respectifs, mettant ainsi fin au litige.
