Une vulnérabilité logicielle grave a été découverte dans la récente mise à jour de la bibliothèque de développement JavaScript du XRP Ledger, suscitant l'alarme au sein de la communauté des développeurs de cryptomonnaies.
La Fondation XRP Ledger a révélé qu'une vulnérabilité avait été trouvée dans plusieurs versions du package JavaScript xrpl, un ensemble d'outils de développement logiciel largement utilisé pour interagir avec le XRP Ledger.
Selon cette organisation, cette vulnérabilité a été découverte par Charlie Eriksen, un chercheur en logiciels malveillants chez Aikido Security, qui décrit ce problème comme une attaque par chaîne d'approvisionnement "potentiellement dévastatrice".
Eriksen avertit : "Cette vulnérabilité de sécurité pourrait permettre à des acteurs malveillants de voler la clé privée des utilisateurs et d'accéder illégalement à leur portefeuille", mais il n'est toujours pas clair si des utilisateurs ont été directement affectés.
Les versions concernées incluent v4.2.1 à v4.2.4 et v2.14.2. L'équipe technique de XRP Ledger a publié v4.2.5, désactivant les paquets compromis. Les utilisateurs et les développeurs basés sur les versions affectées sont conseillés de mettre à jour immédiatement.
Ce fonds a déclaré ce qui suit dans une déclaration ultérieure sur les réseaux sociaux :
"Pour clarifier : cette vulnérabilité se trouve dans xrpl.js, une bibliothèque JavaScript pour interagir avec le XRP Ledger. Elle n'affecte pas la base de données du code XRP Ledger ni le dépôt GitHub."
Le malware semble avoir été introduit via Node Package Manager (NPM), une plateforme largement utilisée pour partager des paquets JavaScript. Des projets tels que Xaman Wallet et XRPScan ont confirmé que leurs services ne sont probablement pas affectés car ils n'ont pas utilisé les versions compromises.
La Fondation XRP Ledger a déclaré que le rapport complet sur l'incident sera publié dès qu'il y aura plus d'informations sur la manière dont la porte dérobée a été exploitée.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
La Fondation XRP a publié une déclaration concernant une vulnérabilité pouvant entraîner le vol des actifs des utilisateurs.
Une vulnérabilité logicielle grave a été découverte dans la récente mise à jour de la bibliothèque de développement JavaScript du XRP Ledger, suscitant l'alarme au sein de la communauté des développeurs de cryptomonnaies. La Fondation XRP Ledger a révélé qu'une vulnérabilité avait été trouvée dans plusieurs versions du package JavaScript xrpl, un ensemble d'outils de développement logiciel largement utilisé pour interagir avec le XRP Ledger. Selon cette organisation, cette vulnérabilité a été découverte par Charlie Eriksen, un chercheur en logiciels malveillants chez Aikido Security, qui décrit ce problème comme une attaque par chaîne d'approvisionnement "potentiellement dévastatrice". Eriksen avertit : "Cette vulnérabilité de sécurité pourrait permettre à des acteurs malveillants de voler la clé privée des utilisateurs et d'accéder illégalement à leur portefeuille", mais il n'est toujours pas clair si des utilisateurs ont été directement affectés. Les versions concernées incluent v4.2.1 à v4.2.4 et v2.14.2. L'équipe technique de XRP Ledger a publié v4.2.5, désactivant les paquets compromis. Les utilisateurs et les développeurs basés sur les versions affectées sont conseillés de mettre à jour immédiatement. Ce fonds a déclaré ce qui suit dans une déclaration ultérieure sur les réseaux sociaux : "Pour clarifier : cette vulnérabilité se trouve dans xrpl.js, une bibliothèque JavaScript pour interagir avec le XRP Ledger. Elle n'affecte pas la base de données du code XRP Ledger ni le dépôt GitHub." Le malware semble avoir été introduit via Node Package Manager (NPM), une plateforme largement utilisée pour partager des paquets JavaScript. Des projets tels que Xaman Wallet et XRPScan ont confirmé que leurs services ne sont probablement pas affectés car ils n'ont pas utilisé les versions compromises. La Fondation XRP Ledger a déclaré que le rapport complet sur l'incident sera publié dès qu'il y aura plus d'informations sur la manière dont la porte dérobée a été exploitée.