Le Fonds XRP a fait la première déclaration concernant une vulnérabilité de sécurité qui pourrait entraîner le vol des Holdings des utilisateurs : "Doit être mis à jour immédiatement"
Une vulnérabilité sérieuse a été découverte dans une version récemment mise à jour de la bibliothèque de développement JavaScript de XRP Ledger, et une alarme a été lancée au sein de la communauté des développeurs de crypto-monnaie.
La Fondation XRP Ledger a annoncé qu'une vulnérabilité avait été trouvée dans plusieurs versions du paquet xrpl JavaScript, qui est un kit de développement logiciel couramment utilisé pour interagir avec le XRP Ledger.
Selon la fondation, cela a été détecté par Charlie Eriksen, chercheur en logiciels malveillants chez Aikido Security, qui a décrit le problème comme une attaque par chaîne d'approvisionnement "potentiellement destructrice".
Eriksen a averti que "Cette vulnérabilité pourrait permettre à des personnes malveillantes de voler les clés privées des utilisateurs et d'accéder aux portefeuilles de manière non autorisée", mais il reste incertain si un utilisateur particulier est directement affecté.
Parmi les versions affectées se trouvent celles allant de v4.2.1 à v4.2.4 et v2.14.2. L'équipe d'ingénierie de XRP Ledger a depuis publié la version v4.2.5 qui invalide les paquets compromis. Il est fortement recommandé aux utilisateurs et aux développeurs s'appuyant sur les versions affectées de procéder immédiatement à une mise à jour.
La fondation a déclaré ce qui suit dans une annonce de suivi faite via les réseaux sociaux :
« Pour clarifier : cette vulnérabilité se trouve dans xrpl.js, une bibliothèque JavaScript pour interagir avec le XRP Ledger. Elle n'affecte pas le code de base du XRP Ledger ni le dépôt GitHub lui-même. »
Le code malveillant semble avoir été introduit via le gestionnaire de paquets Node Package Manager (NPM), qui est une plateforme couramment utilisée pour partager des paquets JavaScript. Des projets comme Xaman Wallet et XRPScan ont confirmé que leurs services n'ont probablement pas été affectés car ils n'ont pas adopté les versions compromises.
La Fondation XRP Ledger a déclaré qu'un rapport post-mortem complet sera publié lorsque plus d'informations sur l'utilisation du backdoor seront obtenues.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Le Fonds XRP a fait la première déclaration concernant une vulnérabilité de sécurité qui pourrait entraîner le vol des Holdings des utilisateurs : "Doit être mis à jour immédiatement"
Une vulnérabilité sérieuse a été découverte dans une version récemment mise à jour de la bibliothèque de développement JavaScript de XRP Ledger, et une alarme a été lancée au sein de la communauté des développeurs de crypto-monnaie.
La Fondation XRP Ledger a annoncé qu'une vulnérabilité avait été trouvée dans plusieurs versions du paquet xrpl JavaScript, qui est un kit de développement logiciel couramment utilisé pour interagir avec le XRP Ledger.
Selon la fondation, cela a été détecté par Charlie Eriksen, chercheur en logiciels malveillants chez Aikido Security, qui a décrit le problème comme une attaque par chaîne d'approvisionnement "potentiellement destructrice".
Eriksen a averti que "Cette vulnérabilité pourrait permettre à des personnes malveillantes de voler les clés privées des utilisateurs et d'accéder aux portefeuilles de manière non autorisée", mais il reste incertain si un utilisateur particulier est directement affecté.
Parmi les versions affectées se trouvent celles allant de v4.2.1 à v4.2.4 et v2.14.2. L'équipe d'ingénierie de XRP Ledger a depuis publié la version v4.2.5 qui invalide les paquets compromis. Il est fortement recommandé aux utilisateurs et aux développeurs s'appuyant sur les versions affectées de procéder immédiatement à une mise à jour.
La fondation a déclaré ce qui suit dans une annonce de suivi faite via les réseaux sociaux :
« Pour clarifier : cette vulnérabilité se trouve dans xrpl.js, une bibliothèque JavaScript pour interagir avec le XRP Ledger. Elle n'affecte pas le code de base du XRP Ledger ni le dépôt GitHub lui-même. »
Le code malveillant semble avoir été introduit via le gestionnaire de paquets Node Package Manager (NPM), qui est une plateforme couramment utilisée pour partager des paquets JavaScript. Des projets comme Xaman Wallet et XRPScan ont confirmé que leurs services n'ont probablement pas été affectés car ils n'ont pas adopté les versions compromises.
La Fondation XRP Ledger a déclaré qu'un rapport post-mortem complet sera publié lorsque plus d'informations sur l'utilisation du backdoor seront obtenues.