El 21 de abril de 2025, la compañía de ciberseguridad Aikido Security detectó una vulnerabilidad crítica en el paquete NPM, una biblioteca para desarrolladores de aplicaciones en la red, creada por Ripple, XRP Ledger (XRPL).
Este fracaso, reportado por Cryptootics, permite a los atacantes obtener a las claves privadas, y sorprendentemente, ya Fue apto hace 10 abriles Por Peter Todd, un desarrollador de software bitcoin certificado.
En mayo de 2015, Todd analizó los riesgos de las redes XRPL y señaló que la probabilidad de tal ataque es “adhesión”.
Las advertencias tempranas fueron ignoradas
Todd, conocido por su trabajo en Bitcoin Core y proyectos como OpenTimemps, Los atacantes pueden insertar puertas traserasSe conoce en inglés como Puerta traseraEn una implementación ampliamente utilizada de software Ripple como servidores “Software de nodo rápido”.
Este ataque puede ser realizado por miembros internos de Ripple Labs y miembros externos que socavan fuentes o código binario alojado en plataformas como GitHub. Según Todd, Los costos económicos de este ataque fueron ineficaces. Y su calibre era amplio, con una maduro duración y éxito de la semana potencial.
La puerta trasera es el mecanismo oculto del software; Datos confidenciales de Atacher AccessComo esencia privada, en el caso de la criptomoneda, controla el fondo de becario. El paquete XRPL NPM con una error nuevo detectada es una biblioteca que los desarrolladores usan para crear aplicaciones en esta red, amplificando el impacto de la vulnerabilidad.
Factores de aventura que muestra Todd
En un exploración de 2015, Todd identificó dos debilidades estructurales en la diligencia de software de Ripple Labs. Primero, señaló que todo el código de red es de código hendido. Esto promueve la transparencia, pero además alienta a terceros maliciosos a investigar y usarlo mal.
Por otra parte, Ripple Labs confió en GitHub, una plataforma de incremento colaborativo, para meter el código. Github es confiable, pero Todd advirtió que Abandonarse en un tercio para la distribución de software introduce riesgosespecialmente si el código no se implementa para probar PGP (el siglas inglés para “muy buena privacidad”), como un standard para el criptográfico para proteger la confiabilidad del software y los datos digitales.
En última instancia, otro punto importante que muestran los desarrolladores de Bitcoiner fue la error de un mecanismo seguro para que los usuarios descarguen el software. Todd estaba apto en binario, pero Ripple Lab No proporcionó una forma segura de probar su integridad.
Por ejemplo, los paquetes de Ubuntu, un sistema activo popular, se distribuyeron a través de un repositorio HTTP inseguro sin una firma para avalar la confiabilidad. Esto abrió la puerta a un ataque que permitió a los atacantes modificar el software mientras fueron dados de adhesión del hospital.
Más tarde, el 22 de abril, la aggiornamento XRPL.JS fue lanzazo por la Fundación XRPL, la cuenta de la red social X, que es la estructura que maneja el incremento de redes creadas por Ripple. Arregle las vulnerabilidades anteriores.
¿Cómo minimiza Bitcoin Core ese tipo de vulnerabilidad?
Bitcoin Core es un plan de código hendido que utiliza firmas PGP para avalar la integridad y confiabilidad de la interpretación del software como un cliente de remisión de Bitcoin.
Cada propagación oficial (por ejemplo, Bitcoin Core V29.0) está firmado por el mantenedor principal con una esencia PGP y está autorizada por el becario Asegúrese de que el código expulsado no haya cambiado. Esto aborda directamente el problema que muestra el TODD de Ripple, donde la error de firmas PGP facilitó la distribución del código astuto.
Por otra parte, Bitcoin Core tiene docenas de colaboradores principales (mantenedores y revisores esencia) y cientos de colaboradores secundarios que revisan el código en GitHub. Este maniquí de incremento hendido garantiza que múltiples fanales examinen cada cambio propuesto. Someter la probabilidad de vulnerabilidad No se notan.
(tagstotranslate) bitcoin (BTC)
