XRPL en danger ? Le projet Ripple renaît de ses cendres réglementaires, depuis l’arrivée de l’administration Trump à la Maison-Blanche. Mais cela ne protège pas son réseau de paiement XRP Ledger de failles éventuelles. Une question de sécurité critique qui vient d’être détectée dans la bibliothèque JavaScript destinée à ses développeurs d’applications. Sa fondation alerte au sujet d’une mise à jour impérative !
- Une faille de sécurité a été détectée dans la bibliothèque JavaScript du réseau XRP Ledger, menaçant la sécurité de ses portefeuilles.
- Les développeurs de XRPL ont réagi en publiant une mise à jour d’urgence pour corriger la vulnérabilité.
Faille de sécurité critique sur XRP Ledger
La XRP Ledger Foundation vient de signaler une faille de sécurité critique dans la bibliothèque JavaScript utilisée pour interagir avec son réseau. Une vulnérabilité qui pourrait permettre une attaque de la chaîne d’approvisionnement « potentiellement catastrophique sur le système ».
Une situation découverte par le chercheur en sécurité Charlie Eriksen pour la société Aikido Security. Cela au sujet d’une porte dérobée (backdoor) insérée dans les versions récentes du kit de développement logiciel utilisé pour construire des applications et interagir avec le XRP Ledger.
« Nous avons rapidement confirmé que le paquet NPM officiel XPRL (Ripple) était compromis par des attaquants sophistiqués qui ont ouvert une porte dérobée pour voler des clés privées et accéder aux portefeuilles de cryptomonnaies »
Une mise à jour d’urgence
Dans les faits, cette faille pourrait donc permettre à des attaquants de voler les clés privées des utilisateurs. Mais également d’accéder à leurs portefeuilles de manière non autorisée. C’est la raison pour laquelle les développeurs de XRP Ledger ont immédiatement réagi avec la publication d’un correctif.
Une mise à jour destinée à « supprimer la version compromise » qui doit impérativement remplacer la précédente au plus vite.
« Pour clarifier : Cette vulnérabilité est dans xrpl.js, une bibliothèque JavaScript pour interagir avec le Ledger XRP. Elle n’affecte PAS la base de code XRP Ledger ou le référentiel Github lui-même. Les projets utilisant xrpl.js doivent passer à la version 4.2.5 immédiatement »
L’équipe de XRP Ledger a également annoncé qu’elle publierait une analyse post-mortem de l’incident. Cela une fois qu’elle aura une meilleure compréhension de la manière dont ce code malveillant est apparu dans sa bibliothèque Javascript.
Charlie Eriksen indique que l’attaque potentielle serait limitée aux services tiers qui ont mis à jour vers les versions malveillantes dans un court laps de temps. La porte dérobée semble également limitée aux versions du code sur Node Package Manager (NPM), un outil similaire à GitHub utilisé par les développeurs pour partager des packages JavaScript réutilisables pour les projets Node.js.
Bien que la faille ait été corrigée, les développeurs du réseau XRP Ledger restent vigilants. Notamment face à des hackers de Corée du Nord bien décidés à infiltrer tous les projets crypto. Les utilisateurs doivent impérativement mettre à jour leurs bibliothèques JavaScript et surveiller toute activité suspecte sur leurs portefeuilles.
L’article Faille de sécurité sur XRP Ledger : Une mise à jour est impérative est apparu en premier sur Journal du Coin.
