Notes clés
- La porte dérobée trouvée dans les versions xrpl.js 4.2.1 à 4.2.4 pourrait exposer des clés privées sur XRPL.
- Core XRP Ledger n’est pas affecté, mais les applications de bibliothèque peuvent être à risque.
- XAMAN et XRPSCAN ont confirmé que leurs plates-formes étaient sécurisées et non touchées.
Une nouvelle préoccupation de sécurité est apparue dans la communauté XRP Ledger (XRPL). Les rapports montrent qu’une porte dérobée a été découverte dans le package officiel de NPM XRPL. La vulnérabilité, qui pourrait conduire à des clés privées volées et à des fonds perdus, a mis les développeurs et les utilisateurs en alerte élevée.
XRP Ledger: Backdoor trouvé dans la populaire bibliothèque xrpl.js
Selon les rapports, la société de cybersécurité Aikido Security a révélé sur les réseaux sociaux que la bibliothèque XRPL.JS, un outil clé utilisé par les développeurs pour créer des applications sur le grand livre XRP, avait été compromise. Il a été signalé qu’une porte dérobée cachée a été trouvée dans les versions 4.2.1 à 4.2.4 de la bibliothèque.
Selon Aikido, cette vulnérabilité permet à la bibliothèque d’envoyer secrètement des clés privées aux attaquants, ce qui mettait en danger les portefeuilles d’utilisateurs. Il convient de noter que l’avertissement a été publié pour la première fois le 22 avril.
Parallèlement à la publication, Aikido Security a téléchargé une capture d’écran montrant une partie du code malveillant dans un fichier nommé New Striptest (). Comme détaillé, ce fichier a été conçu pour voler des informations sensibles à la connaissance des utilisateurs ou des développeurs.
Lire plus
Il est important d’ajouter que la révélation a suscité des préoccupations dans l’espace de développement de la cryptographie. Depuis l’annonce sur X, les projets utilisant les versions de la bibliothèque affectés sont invités à rétrograder immédiatement.
Aikido Security a également averti que ceux qui utilisent des versions antérieures devraient éviter la mise à niveau pour l’instant. La bibliothèque XRPL.JS est hébergée sur la plate-forme NPM, ce qui la rend largement accessible et largement intégrée dans diverses applications et outils de cryptographie.
Les chercheurs en sécurité et les actifs numériques des membres de la communauté sur X aident à diffuser l’avertissement. Il a été précisé que le grand livre XRP ne reste pas affecté. Cependant, la préoccupation s’est développée autour des projets et des applications qui reposent sur la bibliothèque compromise, car ils pouvaient toujours exposer les utilisateurs à de graves risques.
Un utilisateur a mentionné la découverte et a souligné l’importance de revenir à une version sûre. À partir de cette publication, le poste d’Aikido Security avait reçu plus de 146 000 vues en quelques heures, soulignant à quel point la communauté a pris au sérieux la mise à jour.
Cela marque une autre vulnérabilité notable en 2025. Coinspeaker a indiqué que Unilend Finance avait subi une perte de 197 000 $ en raison d’un défaut dans le calcul des balances de jeton collatérales.
XRPSCAN et XAMAN Wallet confirment qu’ils ne sont pas affectés
Il convient de noter que, en répondant à la préoccupation croissante, l’équipe derrière l’explorateur XRPScan a déclaré que la plate-forme était sûre. Selon le Post X, XRPSCAN ne traite pas les clés privées et utilise une version antérieure de la bibliothèque xrpl.js qui ne contient pas la porte dérobée.
XRPScan est à l’abri de cette vulnérabilité de la chaîne d’approvisionnement XRPL.JS. Nous ne traitons pas les clés privées et utilisons une ancienne version de xrpl.js. Pour les projets utilisant xrpl.js, nous vous recommandons de vérifier les versions de la bibliothèque dès que possible, surtout si une mise à jour a été effectuée récemment. https://t.co/0sdmnqkbpb
– xrpscan (@xrpscan) 22 avril 2025
En outre, l’équipe a conseillé à tous les développeurs d’examiner leur code et de vérifier leurs dépendances immédiatement, surtout si des mises à jour avaient été effectuées récemment.
XRPL Labs a également réagi à la situation. Le groupe derrière le portefeuille Xaman a confirmé que leur infrastructure ne reposait pas sur la bibliothèque vulnérable. Ils ont également précisé que XAMAN gère les clés privées en utilisant ses systèmes, ce qui protège ses utilisateurs du compromis.
Cet incident met l’accent sur le besoin critique de revues approfondies des outils tiers dans le développement de la cryptographie. Comme indiqué précédemment par CoinSpeaker, Bybit a pris des mesures pour renforcer sa sécurité à la suite d’un hack de février. L’échange a récemment annoncé un partenariat avec la garde de Zodia pour aider à prévenir les exploits futurs.
Résumé: La découverte d’une porte dérobée dans la bibliothèque xrpl.js a soulevé des préoccupations de sécurité parmi les utilisateurs et développeurs de l’écosystème XRP Ledger. Bien que le Core XRP Ledger ne soit pas touché, les applications utilisant les versions vulnérables courent un risque. Des plateformes comme XRPSCAN et le portefeuille XAMAN ont confirmé qu’elles n’étaient pas affectées, soulignant l’importance de la sécurité dans le développement de la cryptographie.
