Il pacchetto ufficiale Ripple XRP Ledger (XRPL), un pacchetto NPM, è stato compromesso da sofisticati aggressori che hanno installato una backdoor per estrarre chiavi crittografiche, ottenendo l'accesso a portafogli privati. Ripple ha scoperto la violazione quando cinque nuovi pacchetti sono stati aggiunti al repository XRP Ledger (XRPL). Il pacchetto ha una media di 140.000 download ogni settimana. Migliaia di siti Web e app utilizzano il pacchetto. La violazione, se non affrontata, avrebbe potuto causare gravi danni ai mercati delle criptovalute, portando a un’interruzione della catena di approvvigionamento che avrebbe potuto diffondersi ad altri mercati. I cinque nuovi pacchetti aggiunti a GitHub non erano in linea con le versioni precedenti, sollevando sospetti sulle modifiche apportate al codice.
Il codice dannoso comunicava con un nome di dominio appena registrato, 0x9c.xyz, che veniva utilizzato durante il processo di creazione del portafoglio, consentendo agli aggressori di accedere alle chiavi private. L'analisi del codice rivela che gli aggressori hanno affinato i loro metodi nel tempo. Inizialmente, hanno codificato l’exploit in codice semplice, per poi passare a mascherare la backdoor con codice TypeScript. Ripple ha consigliato alle persone colpite dall'attacco di controllare i propri registri per vedere se c'è traffico in uscita verso il nome di dominio sospetto. Inoltre, le applicazioni che utilizzano Ripple Ledger dovrebbero ruotare gli indirizzi dei propri portafogli per prevenire futuri attacchi da parte di malintenzionati. L'XRPL compromesso includeva le versioni 4.2.1 e 4.2.4. Ripple ha rilasciato nuove versioni che mitigano la minaccia, comprese le versioni 4.2.5 e 2.14.3. Gli utenti interessati dovrebbero spostare immediatamente le proprie risorse a nuovi indirizzi.
Nelle versioni compromesse gli aggressori hanno aggiunto un metodo denominato checkValidityOfSeed() alla fine del file /src/index.ts. Il metodo consente agli utenti di inviare una stringa all'indirizzo web 0x9c.xyz/xcm, dove gli aggressori possono archiviare i dati recuperati. Il metodo invia i dati utilizzando una richiesta HTTP POST. Gli aggressori hanno ulteriormente mascherato il metodo di richiesta come un servizio di riferimento pubblicitario per nascondere le loro attività agli scanner di monitoraggio della rete. Il metodo checkValidityOfSeed() consente agli aggressori di rubare chiavi private, mnemonici e seed.
La XRP Ledger Foundation (XRPLF) è responsabile del mantenimento della libreria xrpl.js, che è un pacchetto ufficiale utilizzato per comunicare con Ripple tramite JavaScript. La libreria xrpl.js consente ai programmatori di accedere alle funzionalità del portafoglio, trasferire token Ripple e interagire con la blockchain di Ripple. Il pacchetto è ampiamente utilizzato, con una media di 140.000 download a settimana. Il codice dannoso è stato inserito nelle versioni 2.14.2, 4.2.1, 4.2.2, 4.2.3 e 4.2.4. Ripple ha rilasciato una versione fissa 4.2.5.
Si consiglia agli sviluppatori di sostituire eventuali versioni infette il prima possibile. Il problema con questi attacchi è che possono infettare le librerie utilizzate dagli sviluppatori e quindi colpire gli utenti generici che scaricano app già compromesse. Ripple ha rimosso tutti i pacchetti NPM infetti. Ripple ha assicurato agli utenti che l'attacco ha colpito solo il pacchetto xrpl.js e non il repository principale di Ripple.
"Questa vulnerabilità", ha scritto la Ripple Foundation, "si trova in xrpl.js, una libreria JavaScript per interagire con XRP Ledger. NON influisce sulla codebase XRP Ledger o sul repository GitHub stesso. I progetti che utilizzano xrpl.js dovrebbero essere aggiornati immediatamente alla versione 4.2.5."
Coinbase ha subito un attacco simile a marzo, quando gli aggressori hanno preso di mira il loro AgentKit open source. L’attacco ha preso di mira le catene di approvvigionamento, identiche all’attacco XRPL, e mirava a sfruttare progetti legati alle criptovalute. Tuttavia, Coinbase è riuscita a sventare l’attacco e a prevenire qualsiasi danno alla sua catena di approvvigionamento. Anche il gruppo di hacker nordcoreano Lazarus ha preso di mira i repository NPM, utilizzando un trucco per creare repository con nomi simili a quelli delle biblioteche ufficiali.
Ripple ha recentemente registrato guadagni significativi nel mercato americano, in seguito all'accordo della SEC con la società di criptovaluta. Il cambiamento nella regolamentazione americana ha consentito alla rete Ripple di espandere le proprie pratiche commerciali e concentrarsi sull’innovazione. Il prezzo XRP è aumentato di circa il 300% dall'insediamento di Trump. Ripple ha dinamiche di prezzo simili, in termini di volatilità, ad altre monete come Stellar e TRON, il che potrebbe essere dovuto alla sovrapposizione dei mercati delle rimesse. Ora c’è una spinta per rilasciare un ETF XRP. Coinbase, inoltre, ha rilasciato un mercato dei futures XRP sulla sua piattaforma di derivati, annunciando il cambiamento il 21 aprile.