Puntos clave de la noticia:
-
Un hacker intentó atacar la infraestructura de XRP Ledger al comprometer un token de NPM y distribuir versiones maliciosas de xrpl.js.
-
Aikido Security detectó cinco versiones alteradas y la XRP Ledger Foundation lanzó una actualización segura sin afectar el núcleo del proyecto.
-
Ripple Labs cerró su disputa legal con la SEC tras más de tres años, acordando pagar $50 millones y recuperar otros $75 millones.
Un intento de ataque contra la infraestructura del XRP Ledger fue neutralizado antes de provocar daños mayores. Un hacker logró acceder a un token de publicación de paquetes NPM perteneciente a un desarrollador y utilizó esa credencial para distribuir versiones comprometidas de xrpl.js, la librería oficial que permite interactuar con la red de Ripple desde aplicaciones JavaScript.
El incidente fue detectado por Aikido Security y puso en riesgo a cualquier aplicación que hubiera instalado las versiones afectadas de forma automática. Según el investigador Charlie Eriksen, las versiones maliciosas incluían un código oculto que capturaba claves privadas y las enviaba a servidores controlados por el atacante. La gravedad radica en la enorme difusión de la librería, que registra más de 140.000 descargas semanales y está integrada en aplicaciones y servicios relacionados con XRP en todo el ecosistema.
🚨We have discovered a backdoor in the official #xrpl NPM package. This back door steals private keys and sends them to attackers. The affected versions 4.2.1 – 4.2.4, if you are using an earlier version, do not upgrade.#crypto #malware #npm pic.twitter.com/wshcTFKjbR
— Aikido Security (@AikidoSecurity) April 22, 2025
El Nucleo de XRP Ledger No Resultó Comprometido
Aikido identificó rápidamente cinco versiones alteradas y notificó a las autoridades técnicas correspondientes. La XRP Ledger Foundation desactivó de inmediato esas versiones y publicó una actualización corregida bajo la versión 4.2.5. El núcleo del código fuente de XRP Ledger y su repositorio oficial en GitHub no se vieron comprometidos. Este ataque quedó limitado a las librerías distribuidas por NPM y no alcanzó a servicios como Xaman Wallet ni a exploradores de bloques como XRPScan, que confirmaron no haber incorporado los paquetes afectados.
En paralelo, se cerró un largo capítulo legal que Ripple Labs mantenía con la Comisión de Bolsa y Valores de Estados Unidos. La disputa comenzó en diciembre de 2020, cuando la SEC denunció a la empresa por vender XRP como un valor no registrado, una acusación que Ripple negó al sostener que se trata de una criptomoneda.
En 2023, una jueza federal falló parcialmente a favor de la SEC respecto a ventas institucionales, pero no en mercados secundarios. Finalmente, en marzo de este año, ambas partes alcanzaron un acuerdo. Ripple pagará $50 millones y recuperará otros $75 millones, mientras renuncian a continuar con las apelaciones pendientes.
