Miles de billeteras de criptomonedas fueron puestas en riesgo el lunes cuando un hacker comprometió la biblioteca oficial de JavaScript de Ripple para el XRP Ledger, insertando código diseñado para robar claves privadas y credenciales de billeteras.
Lo que hay que saber:
- Investigadores de seguridad detectaron código no autorizado en la biblioteca xrpl.js entre las 4:46 PM y las 5:49 PM hora del este del lunes.
- El código malicioso podía transmitir semillas de billeteras y claves privadas a servidores controlados por atacantes.
- Grandes proyectos de XRP confirmaron que siguen seguros, pero se urge a los usuarios que descargaron versiones afectadas a transferir activos inmediatamente.
Detalles de la infracción de seguridad
La vulnerabilidad fue descubierta por Aikido, una firma de ciberseguridad centrada en criptomonedas, cuando los investigadores identificaron código sospechoso dentro de la distribución oficial de Node Package Manager de xrpl.js.
Múltiples versiones de la biblioteca publicadas en el registro NPM durante la ventana de una hora contenían funcionalidades de puerta trasera capaces de comprometer billeteras de usuarios.
Charlie Eriksen, el investigador de seguridad que identificó la explotación, describió el incidente como un riesgo potencialmente catastrófico para la cadena de suministro de criptomonedas. El paquete comprometido podría robar credenciales de billeteras sensibles, transmitiéndolas directamente a servidores controlados por los atacantes. Este acceso permitiría a actores maliciosos tomar control sobre las billeteras afectadas y potencialmente drenar sus activos digitales sin autorización.
"Si crees que podrías haber interactuado con el código comprometido, asume que tus claves de billetera están expuestas," aconsejó Eriksen en su boletín de seguridad. "Las claves afectadas deben ser retiradas, y los activos movidos a nuevas billeteras inmediatamente."
El alcance de la vulnerabilidad parece limitado a servicios que descargaron e integraron las versiones contaminadas durante el breve periodo de exposición el lunes. Aplicaciones y proyectos que no actualizaron sus dependencias durante este periodo probablemente permanecen no afectados por la infracción, según expertos en seguridad familiarizados con el incidente.
Varios proyectos prominentes del ecosistema XRP, incluidos Xaman Wallet y XRPScan, han emitido declaraciones confirmando que sus plataformas permanecen seguras. No obstante, profesionales de seguridad en toda la industria de las criptomonedas han instado tanto a usuarios como a desarrolladores a ejercer una cautela aumentada.
Respuesta y esfuerzos de mitigación
Ingenieros en la Fundación del Ledger de XRP respondieron rápidamente una vez que la brecha fue identificada. Versiones actualizadas y seguras de la biblioteca xrpl.js fueron liberadas poco después del descubrimiento, efectivamente sobrescribiendo los paquetes maliciosos previamente disponibles en NPM. El equipo de desarrollo ha emitido una recomendación que todos los usuarios y proyectos actualicen a la última versión segura sin demora para evitar una posible explotación.
En una declaración oficial, la Fundación del Ledger de XRP se comprometió a publicar un análisis pormenorizado una vez concluida su revisión interna de seguridad.
Este análisis probablemente proporcionará detalles adicionales sobre el vector de ataque y cómo podrían prevenirse incidentes futuros.
En el período interino, los desarrolladores que dependen de xrpl.js para sus proyectos han sido fuertemente aconsejados a realizar auditorías exhaustivas de sus bases de código para identificar cualquier exposición potencial a las versiones de bibliotecas afectadas. La urgencia de estas recomendaciones refleja la naturaleza seria de la vulnerabilidad.
La infracción lleva una importancia elevada debido a la amplia adopción de xrpl.js dentro del ecosistema Ripple. Como la biblioteca oficial de la Fundación del Ledger de XRP para interacciones con blockchain basadas en JavaScript, el paquete permite funciones críticas incluyendo operaciones de billetera y transferencias de tokens a través de numerosas aplicaciones y servicios.
Con más de 140,000 descargas reportadas en la semana previa al ataque, la popularidad de la biblioteca subraya el alcance potencial y el impacto que habría tenido el código malicioso de haber permanecido sin ser detectado por un periodo más largo. Analistas de seguridad señalan que la rápida identificación limitó lo que podría haberse convertido en un incidente significativamente más dañino.
Esta infracción de seguridad representa otro ejemplo en un patrón creciente de ataques a la cadena de suministro que apunta a la industria de criptomonedas. Tales incidentes explotan la fuerte dependencia de la industria en dependencias de código abierto ampliamente usadas, que pueden convertirse en vectores de daño financiero significativo cuando son comprometidas.
Reflexiones finales
La rápida detección y respuesta a la comprometida biblioteca xrpl.js probablemente previno pérdidas financieras generalizadas a través del ecosistema XRP. Este incidente sirve como un recordatorio claro de las vulnerabilidades de seguridad inherentes en la infraestructura de criptomonedas y la importancia de un monitoreo vigilante de las dependencias de código abierto.