Critica a Ripple e Scoperta della Backdoor
In un recente post sui social media, Peter Todd, noto sviluppatore canadese di Bitcoin e identificato come il candidato più probabile a essere Satoshi Nakamoto in un documentario HBO del 2024, ha criticato Ripple dopo la scoperta di una backdoor nella libreria JavaScript utilizzata per il XRP Ledger (XRPL).
Avvertimenti Ignorati e Vulnerabilità Riconosciute
Todd ha ricordato di aver avvertito su tale vulnerabilità dieci anni fa. Come riportato da U.Today, il CTO di Ripple, David Schwartz, ha recentemente segnalato la presenza di codice malevolo nella libreria, inizialmente scoperto da Aikido Security.
Questa backdoor ha consentito l’invio di chiavi private a un dominio sospetto, aprendo la strada ad attacchi volti a rubare le chiavi private degli utenti che utilizzano versioni compromesse del software development kit (SDK) di XRPL.
In precedenza, Todd aveva pubblicato un documento in cui evidenziava che la sicurezza di Ripple potesse essere compromessa dalla mancanza di una firma crittografica PGP per verificare il loro codice. Ciò avrebbe potenzialmente permesso agli hacker di introdurre codice malevolo e distribuire versioni falsificate del software.
Ironia e Riconoscimento
Ironia della sorte, lo stesso tipo di attacco si è verificato un decennio dopo, con una compromissione di NPM che ha portato alla scoperta della backdoor. È significativo che Schwartz abbia riconosciuto la validità dell’avvertimento di Todd, confermando che era vero “in quel momento” a febbraio.
Todd ha ammesso che la sua libreria software non è firmata PGP poiché il Python Package Index (PyPi) ha cessato di supportare tali download. “A dire il vero, al momento, la mia libreria python-bitcoinlib non è firmata PGP per la maggior parte degli utenti perché PyPi ha preso la decisione discutibile di eliminare le firme PGP. Ma le mie mani sono legate riguardo a questo; l’intera industria del software è incompetente,” ha affermato.
