Accueil Faille critique sur XRP Ledger : Un risque pour vos cryptos ?
Actualités Crypto-monnaies, Toute l'actualité

Faille critique sur XRP Ledger : Un risque pour vos cryptos ?

Emmanuel Mounier Expert en crypto-monnaie Author expertise
Dernière mise à jour :
Faits Vérifiés
Faits Vérifiés
Tous nos contenus sont écrits par des experts et sont soumis à un processus strict de vérification des faits avant publication, pour fournir à nos lecteurs les informations les plus fiables et à jour possibles. Un ou plusieurs journaliste(s) de Cryptonaute reli(sen)t systématiquement le travail de leurs pairs afin d'en assurer la véracité, en se référant à des sources de confiance.

Pourquoi faire confiance à Cryptonaute

Tous les articles, guides et analyses publiés sur Cryptonaute sont méticuleusement vérifiés par notre équipe d’éditeurs et de journalistes experts dans leur domaine, afin de garantir leur exactitude et leur pertinence. Nous gardons et publions uniquement les contenus vérifiés par des sources fiables, que ce soit par un site de confiance, un expert avéré ou par la personne source elle-même.

Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.

La bibliothèque JavaScript xrpl.js, essentielle pour interagir avec l’écosystème XRP Ledger, a été discrètement compromise pour voler des clés privées. Un chercheur en sécurité a repéré la menace juste à temps avant que des milliers d’applications ne soient impactées. Retour sur ce qui s’est passé et son impact sur l’écosystème blockchain.

Une menace de grande ampleur déjouée à temps

Le 21 avril, les systèmes de veille de la société Aikido Security détectent cinq versions de xrpl.js inconnues sur npm. Elles auraient été signées par un développeur fictif du nom de mukulljangid et sont absentes du dépôt GitHub officiel. Cette succession d’éléments a immédiatement attiré l’attention.

En inspectant le code, ils trouvent une fonction nommée checkValidityOfSeed qui, intégrée au processus de création de portefeuille, exfiltre silencieusement les clés privées vers un serveur externe (0x9c.xyz).

Il s’agit d’un backdoor qui vise spécifiquement les intégrateurs peu vigilants qui n’épinglent pas leurs dépendances et affecte potentiellement toutes les applications utilisant automatiquement les versions 4.2.1 à 4.2.4, ainsi que 2.14.2 du système.

L’enjeu est critique, car on recense plus de 140 000 téléchargements hebdomadaires de xrpl.js. En effet, l’utilisation est fréquente dans des services de portefeuilles tiers et dans la génération de clés pour des outils comme Ledger wallet.

Si l’attaque avait été découverte plus tard, des milliers de portefeuilles auraient pu être vidés sans bruit.

cryptonaute twitter

Réaction immédiate de la communauté XRP

XRP Ledger Foundation, alertée dès la confirmation du problème, a promptement procédé au retrait des versions infectées du registre npm. Elle a ensuite publié en urgence une version corrigée (4.2.5), tout en listant publiquement les versions compromises pour alerter les développeurs.

L’intégrité du dépôt GitHub n’ayant pas été touchée, seuls les paquets npm installés entre la diffusion et le retrait sont concernés.

Les projets reconnus comme XRPScan, Xaman Wallet et Gen3 Games confirment ne pas avoir utilisé les versions piégées, car leurs intégrations reposent sur d’autres bibliothèques ou versions antérieures.

Une leçon de cybersécurité pour les développeurs blockchain

Le cas xrpl.js illustre parfaitement le risque systémique posé par les dépendances open source mal surveillées. Un seul jeton NPM compromis peut suffire à propager du code malveillant dans des milliers de builds.

Les attaques ciblant les paquets populaires sont devenues un vecteur privilégié des pirates, et ce cas en est une démonstration claire.

Pour divers analystes, il est impératif que les développeurs verrouillent leurs dépendances avec des lockfiles (package-lock.json, yarn.lock), d’éviter les symboles de versions permissifs (comme ^4.2.0), et intègrent une surveillance automatisée du contenu des paquets.

Un marché XRP résilient malgré la faille

Pendant que les devs s’arrachaient les cheveux derrière leurs écrans, le marché, lui, a haussé les épaules. XRP a gagné 8,5 % de plus dans la journée, comme si de rien n’était.

Ce calme apparent est en partie lié à une autre nouvelle majeure, la fin du bras de fer entre Ripple et la SEC, mais cela montre aussi que les investisseurs gardent confiance.

Le cœur du XRP Ledger n’a pas été touché, c’était juste la couche JS utilisée en périphérie. Les plateformes critiques de l’écosystème, comme Xaman Wallet ou XRPScan, ont confirmé qu’elles étaient safe.

La faille était sérieuse, mais bien contenue, et cela a suffi pour que le marché continue son chemin sans paniquer.

Source : CoinMarketCap

Sur le même sujet :

Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.
Ajoutez Cryptonaute à vos flux Google Actualités

Emmanuel Mounier Expert en crypto-monnaie

Emmanuel Mounier Expert en crypto-monnaie

Biographie

Emmanuel est un rédacteur pour Cryptonaute spécialisé dans l'analysé des marchés cryptos, des préventes, de l'iGaming et de l'intelligence artificielle.

Avec une licence en biochimie, il a une approche logique et concise pour analyser les marchés et traiter les différents sujets de l'industrie crypto demandant une approche scientifique.

Trader à ses heures perdues, il a pris l'habitude de sonder le marché crypto aussi bien sous formes d'analyses techniques que de sentiments en sondant les réseaux sociaux.

Gamer depuis sa plus tendre enfance, il a de toute évidence découvert le monde de l'iGaming et des Play-to-Earn étant ainsi en mesure de prodiguer des conseils avisés sur le sujet.

Pour finir, l'intelligence artificielle est un domaine qui s'est ouvert naturellement à lui, puisque très curieux, il codait déjà depuis plusieurs années en Python et s'intéressait au machine learning, ainsi que l'organisation et la collecte des données sous la forme de "scraping" (web crawling). Par conséquent, l'avènement de ces nouvelles technologies couplées à ses connaissances n'ont fait que renforcer son attrait pour le milieu.

Expertise 

  • Analyse du marché crypto (techniquement et sentiments)
  • Expertise dans l'iGaming notamment des jeux en ligne type casino et des Play-to-Earn
  • Fort intérêt pour l'intelligence artificielle avec un background en Python orienté scraping et machine learning

Accomplissements

  • Rédaction de contenu informatif dans le domaine des crypto-monnaies, iGaming et prévention de la sécurité pour les débutants
  • Suivi et traitement de l'actualité crypto, intelligence artificielle et gaming

Publications

Éducation

  • Université des sciences et technologie de la Réunion

Autres

  • Plus de 1000 articles à son actif concernant les crypto-monnaies et le Web3
Recevez toute l'actualité crypto en direct sur Telegram
Rejoignez notre groupe Telegram

Le trading est risqué et vous pouvez perdre tout ou partie de votre capital. Les informations fournies ne constituent en aucun cas un conseil financier et/ou une recommandation d’investissement.

Tous droits réservés – 2017 – 2025 © cryptonaute.fr