La Fundación XRP Ledger ha confirmado que ha solucionado una vulnerabilidad crítica detectada en una enmienda aún no habilitada del XRP Ledger de Ripple, evitando así un posible exploit de gran envergadura.
Según un informe publicado el jueves, el 19 de febrero, un ingeniero de seguridad de la firma de ciberseguridad Cantina, Pranamya Keshkamat, junto con el bot de seguridad de inteligencia artificial de Cantina, identificaron un “error lógico crítico” en la lógica de validación de firmas de la cadena de bloques de Ripple, XRP Ledger.
Esta vulnerabilidad en el código de validación de firmas podría haber permitido a un atacante ejecutar transacciones desde las cuentas de las víctimas, incluyendo el vaciado de fondos, sin necesidad de acceder a las claves privadas de los afectados.
La XRPLF aclaró que “la enmienda estaba en su fase de votación y no se había activado en la red principal; por lo tanto, ningún fondo estaba en riesgo”.
Una explotación podría haber desestabilizado el ecosistema
Además del potencial robo de fondos y la modificación del estado del libro mayor, la vulnerabilidad podría haber “desestabilizado el ecosistema”, indicó la XRPLF.
“Un exploit a gran escala exitoso podría haber causado una pérdida sustancial de confianza en XRPL, con posibles disruptivas significativas para el ecosistema en general.”
Relacionado: Las acciones de ciberseguridad caen tras el lanzamiento del escáner Claude Code Security de Anthropic
Hari Mulackal, CEO de Cantina y Spearbit, comentó que “nuestro cazador de errores autónomo, Apex, encontró este error crítico.”
“Si esto hubiera sido explotado, habría sido el mayor hackeo de seguridad por valor en dólares en el mundo, con casi 80 mil millones de dólares en riesgo directo”, agregó, posiblemente refiriéndose a la capitalización del mercado de XRP.
Emergencia de escáneres de ciberseguridad basados en IA
La herramienta de seguridad autónoma desarrollada por Cantina AI identificó la vulnerabilidad a través de un “análisis estático de la base de código de rippled”, y presentó un informe de divulgación que permitió a los equipos de ingeniería de Ripple validar el problema y comenzar a corregir el código.
Se recomendó a los validadores votar en contra de la enmienda, y el 23 de febrero se publicó una versión de emergencia (rippled 3.1.1) para bloquear la activación de la enmienda, afirmó la XRPLF.
La inteligencia artificial se está implementando cada vez más para fines de ciberseguridad, con el objetivo de detectar errores de código que podrían pasar desapercibidos para los ojos humanos.
Anthropic lanzó Claude Code Security, su escáner de vulnerabilidades de ciberseguridad basado en IA, el 20 de febrero, afirmando que “puede razonar como un investigador de seguridad experto”, lo que causó una caída en las acciones de las compañías de seguridad informática.
Fuente: cointelegraph.com