Error crítico en el XRP Ledger en la enmienda por lotes que podría haber drenado las carteras de los usuarios - U.Today

Un grave fallo de lógica en el código de XRP Ledger (XRPL) fue evitado por poco este mes, según un reciente artículo en un blog.

Investigadores de seguridad descubrieron una vulnerabilidad que podría haber permitido a los atacantes vaciar las billeteras de los usuarios sin necesidad de sus claves privadas.

El error, que fue detectado en la propuesta de enmienda “Batch” (XLS-56), fue identificado a principios de este mes por el investigador independiente Pranamya Keshkamat y una herramienta de seguridad de IA autónoma llamada Apex.

HISTORIAS DESTACADAS

Fallo crítico en la enmienda Batch de XRP Ledger podría haber drenado las billeteras de los usuarios

Análisis del mercado de criptomonedas: La volatilidad de XRP es una receta de $2, ¿Ocurrirá la eliminación de DOGE en febrero? Las carreras alcistas de Shiba Inu (SHIB) aún no son posibles

La enmienda todavía estaba en su fase de votación y no había sido activada en la red principal de XRPL. Por lo tanto, ningún fondo de los usuarios estuvo en riesgo ni se perdió.

Explicación de la vulnerabilidad

La enmienda Batch permitiría agrupar múltiples transacciones “internas”.

Estas transacciones internas se dejan intencionadamente sin firmar para ahorrar potencia de procesamiento. En su lugar, la autorización se delega a la lista de firmantes del lote externo.

Un error crítico en el ciclo causó una vulnerabilidad importante en el proceso de llamada a los firmantes.

Si el sistema encontraba un firmante para una cuenta que aún no existía en el libro mayor, y la clave de firma coincidía con esa nueva cuenta, el sistema declaraba inmediatamente la validación como exitosa. Luego, salía del ciclo prematuramente, evitando las verificaciones del validador.

Una secuencia específica de transacciones agrupadas podría haber sido utilizada por el atacante para explotar la vulnerabilidad mencionada.

Si la enmienda Batch hubiera sido activada en la red principal antes de este descubrimiento, el ecosistema XRPL podría haber sufrido un golpe severo. Un atacante podría haber robado fondos, modificado el estado del libro mayor y desestabilizado el ecosistema.

A principios de esta semana, los desarrolladores lanzaron el software de servidor de referencia Rippled 3.1.1. Este parche de emergencia marca explícitamente la enmienda Batch como no compatible.

Se ha desarrollado una solución integral que elimina el ciclo de salida temprana y añade controles de autorización más estrictos. Actualmente, está siendo sometida a una revisión exhaustiva por pares.