XRP Ledger casi implementa una función que podría vaciar cuentas sin la firma de los propietarios
Un fallo de seguridad crítico en la propuesta de enmienda "Batch" de XRP Ledger podría haber permitido el drenaje no autorizado de cuentas, pero fue detectado antes de su activación.Resumen
Se descubrió una vulnerabilidad de seguridad significativa en la propuesta de enmienda "Batch" de XRP Ledger (XRPL), diseñada para permitir a los usuarios agrupar múltiples acciones en una única transacción atómica. Investigadores de seguridad señalaron el problema el 19 de febrero, evitando que llegara a la red principal. Si se hubiera activado, el error, derivado de un fallo en el bucle de validación de firmas de lote, habría permitido a un atacante ejecutar transacciones internas como si estuvieran autorizadas por otra cuenta, sin necesidad de las claves privadas de la víctima, lo que podría haber vaciado cuentas o modificado configuraciones del libro mayor. El fallo explotaba una condición donde el bucle de validación fallaba prematuramente si encontraba un firmante para una cuenta que aún no existía en el libro mayor. La Fundación XRPL respondió rápidamente, aconsejando a los validadores de confianza (UNL) que votaran "No" a la enmienda y emitiendo una versión de emergencia (rippled 3.1.1) para bloquear la ruta de activación. Este incidente ocurrió mientras XRPL busca activamente la adopción institucional para la tokenización de activos y actividades sensibles a la normativa, haciendo que un fallo de seguridad fuera particularmente perjudicial para su reputación. Un reemplazo corregido, BatchV1_1, está ahora bajo revisión, y el incidente subraya la creciente importancia de las comprobaciones de validación rigurosas a medida que XRPL amplía su conjunto de características para las finanzas reguladas.
(Fuente:CryptoSlate)