Notas -chave
- O backdoor encontrado nas versões XRPL.JS 4.2.1 a 4.2.4 poderia expor as chaves privadas no XRPL.
- O Ledger do XRP central não é afetado, mas os aplicativos da biblioteca podem estar em risco.
- Xaman e XRPScan confirmaram que suas plataformas são seguras e não impactadas.
Surgiu uma nova preocupação de segurança na comunidade XRP Ledger (XRPL). Os relatórios mostram que um backdoor foi descoberto no pacote oficial do XRPL NPM. A vulnerabilidade, que pode levar a chaves privadas roubadas e fundos perdidos, colocou desenvolvedores e usuários em alerta alto.
XRP Ledger: Backdoor encontrado na popular biblioteca xrpl.js
Segundo relatos, a empresa de segurança cibernética Aikido Security revelou nas mídias sociais que a biblioteca XRPL.JS, uma ferramenta -chave usada pelos desenvolvedores para criar aplicativos no Ledger XRP, foi comprometida. Foi relatado que um backdoor oculto foi encontrado nas versões 4.2.1 a 4.2.4 da biblioteca.
De acordo com o Aikido, essa vulnerabilidade permite que a biblioteca envie secretamente chaves privadas para os atacantes, colocando em risco as carteiras de usuários. Vale ressaltar que o aviso foi publicado pela primeira vez em 22 de abril.
Juntamente com a postagem, a Aikido Security enviou uma captura de tela mostrando parte do código malicioso em um arquivo chamado New Striptest (). Conforme detalhado, esse arquivo foi projetado para roubar informações confidenciais sem o conhecimento de usuários ou desenvolvedores.
É importante acrescentar que a revelação provocou preocupações em todo o espaço de desenvolvimento da criptografia. Como o anúncio em X, os projetos que usam as versões de biblioteca afetadas devem fazer o downgrade imediatamente.
A Aikido Security também alertou que aqueles que usam versões anteriores devem evitar a atualização por enquanto. A biblioteca XRPL.JS está hospedada na plataforma NPM, tornando -a amplamente acessível e amplamente integrada a vários aplicativos e ferramentas de criptografia.
Pesquisadores de segurança e membros da comunidade de ativos digitais em X estão ajudando a espalhar o aviso. Foi esclarecido que o núcleo do XRP permanece inalterado. No entanto, a preocupação cresceu em torno de projetos e aplicativos que dependem da biblioteca comprometida, pois ainda podem expor os usuários a riscos graves.
Um usuário mencionou a descoberta e enfatizou a importância de retornar a uma versão segura. Até esta publicação, a postagem da Aikido Security recebeu mais de 146.000 visualizações em poucas horas, sublinhando a seriedade a comunidade.
Isso marca outra vulnerabilidade notável em 2025. O Coinspeaker relatou que o Finanças Unilends sofreu uma perda de US $ 197.000 devido a uma falha no cálculo dos saldos do token de garantias.
XRPScan e Xaman Wallet confirmam que não são afetados
Vale a pena notar que, ao responder à crescente preocupação, a equipe por trás do Explorer XRPScan afirmou que a plataforma é segura. De acordo com o X Post, o XRPScan não processa teclas privadas e usa uma versão anterior da biblioteca xrpl.js que não contém o backdoor.
O XRPScan está a salvo dessa vulnerabilidade da cadeia de suprimentos XRPL.JS. Não processamos chaves privadas e usamos uma versão mais antiga do XRPL.JS. Para projetos usando xrpl.js, recomendamos verificar duas versões da biblioteca o mais rápido possível, especialmente se alguma atualização foi feita recentemente. https://t.co/0sdmnqkbpb
– xrpscan (@xrpscan) 22 de abril de 2025
Além disso, a equipe aconselhou todos os desenvolvedores a revisar seu código e verificar suas dependências imediatamente, especialmente se as atualizações tiverem sido feitas recentemente.
O XRPL Labs também reagiu à situação. O grupo por trás da Xaman Wallet confirmou que sua infraestrutura não depende da biblioteca vulnerável. Eles também esclareceram que a Xaman lida com chaves privadas usando seus sistemas, o que mantém seus usuários a salvo de compromisso.
Este incidente enfatiza a necessidade crítica de revisões completas de ferramentas de terceiros no desenvolvimento de criptografia. Conforme relatado anteriormente pelo Coinspeaker, Bybit tomou medidas para fortalecer sua segurança após um hack de fevereiro. A bolsa anunciou recentemente uma parceria com a custódia de Zodia para ajudar a evitar explorações futuras.
próximo
Isenção de responsabilidade: O Coinspeaker está comprometido em fornecer relatórios imparciais e transparentes. Este artigo tem como objetivo fornecer informações precisas e oportunas, mas não deve ser tomado como consultoria financeira ou de investimento. Como as condições do mercado podem mudar rapidamente, incentivamos você a verificar informações por conta própria e consultar um profissional antes de tomar qualquer decisões com base nesse conteúdo.
Benjamin Godfrey é um entusiasta e jornalista blockchain que aprecia escrever sobre as aplicações da vida real da tecnologia e inovações da blockchain para impulsionar a aceitação geral e a integração mundial da tecnologia emergente. Seu desejo de educar as pessoas sobre criptomoedas inspira suas contribuições para a renomada mídia e sites blockchain.
Fonte: www.coinspeaker.com
