XRP(리플)의 자바스크립트 라이브러리 xrpl.js가 심각한 보안 취약점으로 사용자들의 개인키가 유출될 수 있는 것으로 확인됐다.
아이키도 시큐리티가 최초로 이 취약점을 발견했으며, 리플 CTO 데이비드 슈워츠도 이를 확인했다. 문제가 발생한 NPM 라이브러리 버전은 4.2.1, 4.2.2, 4.2.3, 4.2.4, 2.14.2이다. 다만 자만 월렛과 XRP스캔 같은 주요 XRP 서비스들은 영향을 받지 않은 것으로 밝혀졌다.
비트코인 개발자 피터 토드는 "10년 전 리플이 PGP 서명 등 적절한 보안 조치를 취하지 않아 리플 소프트웨어에 보안 위험이 있다고 경고했는데, 결국 npm 취약점으로 인한 리플 백도어가 발생했다"고 비판했다. 토드는 자신의 파이썬 라이브러리도 PyPi가 PGP 서명을 단계적으로 폐지해 대부분의 사용자가 PGP 서명을 하지 않고 있다며, 소프트웨어 업계를 '무능하다'고 지적했다.
지난 4월 21일, "mukulljangid"라는 개발자가 xrpl.js 패키지에 개인키를 탈취해 외부로 전송하는 악성코드를 삽입했다. 공격자는 리플 직원의 npm 계정을 탈취해 접근했으며, 탐지를 피하기 위해 짧은 시간 내에 여러 버전을 사용했다. 다만 GitHub 저장소에서는 백도어가 발견되지 않았다.
XRP 레저 재단은 취약점이 있는 xrpl.js 버전들을 제거했다고 밝혔다. 개발자들은 4.2.5 또는 2.14.3 버전을 사용할 것을 권장했으며, 자세한 보고서는 곧 공개될 예정이다.
이번 사건은 고객 지원과 거액의 자금이 오가는 암호화폐 업계에서 소프트웨어 보안의 중요성을 다시 한번 일깨우는 계기가 됐다.