XRP(Ripple)’nin xrpl.js kütüphanesinde kritik güvenlik açığı: Özel anahtarlar risk altında

XRP(Ripple)’nin JavaScript kütüphanesi xrpl.js’te kritik bir güvenlik açığı tespit edildi. Bu açık nedeniyle kullanıcıların *özel anahtarları* sızdırılabilir durumda. İlk olarak *Aikido Security* adlı güvenlik firması tarafından keşfedilen bu sorun, Ripple’ın teknoloji sorumlusu David Schwartz tarafından da doğrulandı. Riskli yazılım sürümleri arasında 4.2.1, 4.2.2, 4.2.3, 4.2.4 ve 2.14.2 yer alıyor. Öte yandan *Xumm Wallet* ve *XRPScan* gibi önde gelen XRP hizmetlerinin etkilenmediği belirtildi.

*Bitcoin* geliştiricisi Peter Todd, 10 yıl önce Ripple’ın PGP imzası gibi temel güvenlik önlemlerini almaması nedeniyle zayıf bir güvenlik yapısına sahip olduğu konusunda uyardığını hatırlattı. Todd, bu olayı “Ripple yazılımına npm üzerinden bir arka kapı açıldı” sözleriyle eleştirdi. Ayrıca kendi *Python* kütüphanesi örneğini vererek, PyPi'nin PGP imzalarını geri plana atmasının sektörde güvenliği zayıflattığını ve yazılım endüstrisinin bu konuda ‘*yetersiz*’ olduğunu ifade etti.

Saldırı 21 Nisan’da gerçekleşti. “mukulljangid” takma adını kullanan bir geliştirici, xrpl.js paketine kullanıcıların özel anahtarlarını dışa aktaran kötü amaçlı bir kod ekledi. Saldırgan, bir Ripple çalışanının npm hesabını ele geçirerek yetkisiz erişim sağladı ve şüphe çekmemek adına art arda farklı sürümler yayımladı. Ancak, GitHub üzerindeki kaynak kodda herhangi bir *arka kapı* tespit edilmedi.

*XRP Ledger Foundation* yaptığı açıklamada, zararlı xrpl.js sürümlerinin kaldırıldığını duyurdu. Geliştiricilere 4.2.5 veya 2.14.3 sürümlerine geçmeleri önerildi. Konuyla ilgili ayrıntılı raporun ise yakında yayımlanacağı bildirildi.

Bu olay, müşteri varlıklarının güvenliğinin kritik önem taşıdığı *kripto para dünyasında*, yazılım güvenliği konusuna yeniden dikkat çekti.