Allerta di Sicurezza per la Comunità XRP
La comunità XRP ha ricevuto un’allerta di sicurezza critica dopo un recente tweet della piattaforma di sicurezza Aikido Security. In questo tweet, Aikido Security ha dichiarato di aver scoperto una backdoor nel pacchetto NPM ufficiale di XRPL, una libreria popolare per integrare un’app JavaScript/TypeScript con il Ledger XRP quando è richiesta una funzionalità avanzata. Questa backdoor ruba le chiavi private e le invia agli attaccanti, provocando un’allerta urgente per tutti gli sviluppatori e i progetti legati a XRP.
Raccomandazioni per gli Sviluppatori
È fondamentale prestare attenzione. Assicuratevi che il vostro progetto non utilizzi l’ultima versione di NPM, poiché ciò comprometterebbe tutti i conti creati con la libreria. Aikido Security ha dichiarato che le versioni compromesse del pacchetto NPM di XRPL vanno dalla 4.2.1 alla 4.2.4, comprendendo anche le versioni 4.2.4, 4.2.3, 4.2.2 e 4.2.1.
Thomas Silkjaer, capo dell’analisi e della conformità di InFTF, ha ritwittato il post di Aikido Security esprimendo un avviso chiaro: “Fate attenzione. Assicuratevi che il vostro progetto non utilizzi l’ultima versione di NPM, poiché comprometterà tutti i conti creati con la libreria.”
Anche Vet, un validatore del Ledger XRPL, ha emesso un avviso simile: “Sviluppatori e progetti del Ledger XRP: se utilizzate la libreria XRPL JS, evitate di aggiornare o di utilizzare qualsiasi versione 4.2.1 o superiore. È compromessa: qualsiasi progetto che usi la più recente versione di XRPL JS mette a rischio utenti e fondi. Assicuratevi di comunicare questo a tutti i progetti e sviluppatori interessati.”
Conferme e Raccomandazioni Aggiuntive
Il fornitore di infrastruttura Alloy Network ha condiviso un’allerta urgente, confermando l’avviso di Aikido Security: “Questo è verificato. L’ultima versione del pacchetto NPM è compromessa. Tornate a una versione precedente immediatamente.”
Denis Angell, ingegnere del software presso XRPL Labs e Xahau, ha confermato che l’attuale versione stabile di xrpl.js è la 4.2.0.
Infine, Xaman Builder di XRPL Labs ha rassicurato gli utenti, dichiarando che “il pacchetto NPM xrpl.js compromesso non influisce su Xaman Wallet. Xaman utilizza infrastrutture interne e librerie sviluppate da XRPL Labs. Non ci affidiamo a librerie di terze parti come xrpl.js per gestire chiavi private o transazioni. Gli utenti di Xaman non sono interessati.”
