XRP Ledger sous tension : une faille critique menace-t-elle vos actifs ?
Une vulnérabilité potentielle sur le XRP Ledger fait trembler la communauté crypto. Les détails techniques restent flous, mais les portefeuilles pourraient être en danger.
Le cœur du problème
: Des sources internes évoquent un exploit capable de contourner les mécanismes de sécurité. Ripple Labs minimise les risques – comme d’habitude quand leur token prend un coup.
À surveiller
: Les transactions suspectes et les mises à jour urgentes du validateur. Les gros porteurs ont déjà commencé leurs arbitrages – la finance traditionnelle, elle, attend sagement que la SEC règle l’affaire à coups de millions.
La bibliothèque JavaScript xrpl.js, essentielle pour interagir avec l’écosystème XRP Ledger, a été discrètementUn chercheur en sécurité a repéré la menace juste à temps avant que des milliers d’applications ne soient impactées. Retour sur ce qui s’est passé et son impact sur l’écosystème blockchain.
Une menace de grande ampleur déjouée à temps
Le 21 avril, les systèmes de veille de la société Aikido Security détectent cinq versions de xrpl.js inconnues sur npm. Elles auraient été signées par un développeur fictif du nom de mukulljangid et sont absentes du dépôt GitHub officiel. Cette succession d’éléments
En inspectant le code, ils trouvent une fonction nommée checkValidityOfSeed qui, intégrée au processus de création de portefeuille, exfiltre silencieusement les clés privées vers un serveur externe (0x9c.xyz).
Il s’agit d’un backdoor quipeu vigilants qui n’épinglent pas leurs dépendances et affecte potentiellement toutes les applications utilisant automatiquement les versions 4.2.1 à 4.2.4, ainsi que 2.14.2 du système.
L’enjeu est critique, car on recenseEn effet, l’utilisation est fréquente dans des services de portefeuilles tiers et dans la génération de clés pour des outils comme Ledger wallet.
Si l’attaque avait été découverte plus tard, des milliers de portefeuilles auraient pu être vidés sans bruit.
Réaction immédiate de la communauté XRP
XRP Ledger Foundation, alertée dès la confirmation du problème, a promptement procédé au retrait des versions infectées du registre npm. Elle a ensuite publié en urgence une version corrigée (4.2.5), tout en listant publiquement les versions compromises pour alerter les développeurs.
To clarify: This vulnerability is in xrpl.js, a JavaScript library for interacting with the XRP Ledger. It does NOT affect the XRP Ledger codebase or Github repository itself. Projects using xrpl.js should upgrade to v4.2.5 immediately.
— XRP Ledger Foundation (Official) (@XRPLF) April 22, 2025
L’intégrité du dépôt GitHub n’ayant pas été touchée, seuls les paquets npm installés entre la diffusion et le retrait sont concernés.
Les projets reconnus comme XRPScan, Xaman Wallet et Gen3 Games confirmentcar leurs intégrations reposent sur d’autres bibliothèques ou versions antérieures.
Une leçon de cybersécurité pour les développeurs blockchain
Le cas xrpl.js illustre parfaitementposé par les dépendances open source mal surveillées. Un seul jeton NPM compromis peut suffire à propager du code malveillant dans des milliers de builds.
Les attaques ciblant les paquets populaires sont devenues un vecteur privilégié des pirates, et ce cas en est une démonstration claire.
Pour divers analystes, il est impératif que les développeur(package-lock.json, yarn.lock), d’éviter les symboles de versions permissifs (comme ^4.2.0), et intègrent une surveillance automatisée du contenu des paquets.
Un marché XRP résilient malgré la faille
Pendant que les devs s’arrachaient les cheveux derrière leurs écrans, le marché, lui, a haussé les épaules. XRPde plus dans la journée, comme si de rien n’était.
Ce calme apparent est en partie lié à une autre nouvelle majeure,mais cela montre aussi que les investisseurs gardent confiance.
Le cœur du XRP Ledger n’a pas été touché, c’étaitutilisée en périphérie. Les plateformes critiques de l’écosystème, comme Xaman Wallet ou XRPScan, ont confirmé qu’elles étaient safe.
La faille était sérieuse, mais bien contenue, et cela a suffi pour que le