Crisi di Sicurezza Evitata nell’Ecosistema Crypto
Una potenziale crisi di sicurezza è stata evitata per un soffio dopo che un hacker ha sfruttato un token di accesso di uno sviluppatore per iniettare codice malevolo in un kit di strumenti chiave utilizzato dalle applicazioni sul XRP Ledger. La vulnerabilità, identificata dal ricercatore di Aikido Security, Charlie Eriksen, avrebbe potuto portare a un grave attacco alla catena di approvvigionamento nell’ecosistema crypto.
L’hacker ha sfruttato il token NPM per pubblicare versioni malevoli di xrpl.js sul XRP Ledger. Secondo Aikido Security, l’attaccante ha avuto accesso al token di Node Package Manager (NPM) di uno sviluppatore, consentendo loro di pubblicare versioni compromesse di xrpl.js, la libreria ufficiale di JavaScript per interagire con il XRP Ledger.
Con oltre 140.000 download settimanali, il pacchetto è ampiamente integrato in centinaia di migliaia di app e siti web, sollevando preoccupazioni sulla potenziale portata della violazione.
“Questo avrebbe potuto essere catastrofico,”
ha avvertito Eriksen in un aggiornamento di sicurezza, notando che il difetto teoricamente permetteva agli attaccanti di rubare chiavi private, mettendo a rischio i portafogli crypto.
Il codice malevolo è stato rilevato il 21 aprile, quando il sistema di monitoraggio di Aikido ha segnalato cinque versioni sospette del pacchetto. Fortunatamente, importanti piattaforme legate a XRP come Xaman Wallet e XRPScan hanno confermato di non essere state colpite. Il rischio era limitato alle applicazioni di terze parti che avevano installato le versioni compromesse—v4.2.1 fino a v4.2.4 e v2.14.2—durante una breve finestra prima che la questione venisse contenuta.
La Fondazione XRP Ledger ha risposto prontamente, deprecando le versioni interessate e rilasciando un aggiornamento corretto, v4.2.5, esortando tutti gli sviluppatori che utilizzano xrpl.js a eseguire immediatamente l’aggiornamento. La fondazione ha chiarito che il codice sorgente principale del XRP Ledger e il relativo repository GitHub erano rimasti intatti, poiché la vulnerabilità era isolata alla libreria JavaScript esterna. Sebbene l’identità dell’hacker rimanga sconosciuta, Aikido Security ha accennato a possibili indagini in corso. Nonostante il brivido, i prezzi di XRP hanno mostrato resilienza, aumentando dell’8,5% nell’ultima ora, in mezzo a una più ampia ripresa del mercato delle criptovalute.
Conclusione della Causa Legale contro Ripple Labs
La causa legale contro Ripple Labs si conclude dopo quattro anni. La disputa legale tra Ripple Labs e la Commissione per i Titoli e gli Scambi degli Stati Uniti (SEC) si è conclusa dopo più di quattro anni, segnando uno sviluppo significativo nella regolamentazione delle criptovalute.
Nel dicembre 2020, la SEC ha intentato una causa contro Ripple Labs, accusando l’azienda di aver condotto un’offerta di titoli non registrata vendendo token XRP, raccogliendo oltre 1,3 miliardi di dollari. Ripple ha contestato l’accusa, sostenendo che XRP è una valuta digitale, non un titolo. Nel luglio 2023, il giudice distrettuale degli Stati Uniti, Analisa Torres, ha emesso una sentenza mista: ha stabilito che le vendite di XRP a investitori istituzionali violavano le leggi sui titoli, mentre le vendite su borse pubbliche non lo facevano.
Di conseguenza, è stato ordinato a Ripple di pagare una sanzione civile di 125 milioni di dollari. Nel marzo 2025, Ripple e la SEC hanno raggiunto un accordo. In base all’accordo, Ripple pagherà 50 milioni di dollari della multa precedentemente imposta, mentre i restanti 75 milioni di dollari saranno restituiti alla società. Entrambe le parti hanno concordato di ritirare i rispettivi appelli, ponendo di fatto fine alla contesa legale.
