개발자의 액세스 토큰이 해킹되어 XRP 렛저 애플리케이션에서 사용되는 핵심 도구에 악성 코드가 주입되는 잠재적 보안 위기가 간신히 모면됐다.
23일(현지시간) 크립토뉴스에 따르면, 아이키도 시큐리티(Aikido Security)의 연구원 찰리 에릭센(Charlie Eriksen)이 발견한 이 취약점은 암호화폐 생태계 전반에 걸친 대규모 공급망 공격으로 이어질 수 있었다. 공격자는 개발자의 노드 패키지 매니저(NPM) 토큰에 접근해 XRP 렛저와 상호작용하는 공식 자바스크립트 라이브러리인 xrpl.js의 손상된 버전을 배포할 수 있었다.
주간 다운로드 수가 14만 건 이상인 이 패키지는 수십만 개의 앱과 웹사이트에 광범위하게 통합되어 있어 침해 가능성의 규모에 대한 우려가 제기됐다.
에릭센은 보안 업데이트에서 "이는 재앙이 될 수 있었다"고 경고하며, 이 결함이 이론적으로 공격자가 개인 키를 도용할 수 있게 하여 암호화폐 지갑을 위험에 빠뜨릴 수 있다고 언급했다.
악성 코드는 4월 21일 아이키도의 모니터링 시스템이 다섯 개의 의심스러운 패키지 버전에 플래그를 표시했을 때 감지됐다.
다행히도 자만 월렛(Xaman Wallet)과 XRP스캔(XRPScan)과 같은 주요 XRP 관련 플랫폼들은 영향을 받지 않았다고 확인했다.
위험은 문제가 해결되기 전 짧은 시간 동안 손상된 버전(v4.2.1부터 v4.2.4까지 및 v2.14.2)을 설치한 제3자 애플리케이션에 국한됐다.
XRP 렛저 재단은 신속하게 대응하여 영향을 받은 버전을 폐기하고 패치된 업데이트인 v4.2.5를 출시하면서 xrpl.js를 사용하는 모든 개발자에게 즉시 업그레이드할 것을 촉구했다.
재단은 취약점이 외부 자바스크립트 라이브러리에 국한되어 있어 핵심 XRP 렛저 코드베이스와 그 GitHub 저장소는 영향을 받지 않았다고 명확히 했다.
해커의 신원은 여전히 알려지지 않았지만, 아이키도 시큐리티는 조사 중인 단서가 있음을 암시했다.
공포에도 불구하고 XRP 가격은 회복력을 보이며 광범위한 암호화폐 시장 랠리 속에서 지난 24시간 동안 8.5% 상승했다.
리플 랩스(Ripple Labs)와 미국 증권거래위원회(SEC) 간의 법적 분쟁이 4년 이상 지속된 끝에 마무리되어 암호화폐 규제에 중요한 발전을 이루었다.
2020년 12월, SEC는 리플 랩스가 XRP 토큰을 판매하여 13억 달러 이상을 모금하는 등록되지 않은 증권 제공을 수행했다고 주장하며 소송을 제기했다.
리플은 XRP가 증권이 아닌 디지털 통화라고 주장하며 이에 반박했다.
2023년 7월, 아날리사 토레스(Analisa Torres) 미국 지방 판사는 혼합된 판결을 내렸다. 그녀는 기관 투자자에 대한 XRP 판매는 증권법을 위반했지만, 공개 거래소에서의 판매는 그렇지 않다고 판단했다.
결과적으로 리플은 1억2500만 달러의 민사 벌금을 지불하라는 명령을 받았다.
2025년 3월, 리플과 SEC는 합의에 도달했다. 이 합의에 따라 리플은 이전에 부과된 벌금 중 5000만 달러를 지불하고, 나머지 7500만 달러는 회사에 반환됐다.
양측은 각자의 항소를 취하기로 합의하여 소송을 실질적으로 종결지었다.