Gần đây, XRP đối mặt với một lỗ hổng bảo mật nghiêm trọng liên quan đến một thư viện JavaScript của XRP Ledger. Thư viện có tên xrpl.js trên nền tảng npm đã bị tấn công trong chuỗi cung ứng phần mềm, làm lộ khóa riêng của người dùng. Lỗi bảo mật này được phát hiện bởi Aikido Security và được CTO của Ripple, David Schwartz xác nhận. Vấn đề chỉ ảnh hưởng đến các phiên bản nhất định của thư viện Node Package Manager (NPM), nhưng các dịch vụ chính của XRP như Xaman Wallet và XRPScan khẳng định họ không bị ảnh hưởng.
Các phiên bản bị ảnh hưởng là 4,2,1, 4,2,2, 4,2,3, 4,2,4 và 2,14,2. Tuy nhiên, vấn đề đã được khắc phục trong các phiên bản mới hơn như 4,2,5 và 2,14,3. Peter Todd, một nhà phát triển Bitcoin, đã nhấn mạnh rằng sau một thập kỷ cảnh báo về rủi ro bảo mật trong phần mềm của Ripple do thiếu biện pháp bảo mật như ký PGP, vấn đề đã xảy ra do sự thâm nhập trên npm. Ông chỉ trích Ripple vì không sử dụng phương pháp bảo mật (chữ ký PGP) để xác minh mã nguồn, điều này có thể đã ngăn chặn được cuộc tấn công.
Todd cũng thừa nhận rằng thư viện Python của ông không được ký PGP đối với hầu hết người dùng do PyPi loại bỏ chữ ký PGP. Ông phê phán ngành công nghiệp phần mềm là “bất lực” và nhấn mạnh rằng ông không có quyền kiểm soát nó. Một người dùng có tên “mukulljangid” đã giới thiệu mã độc vào gói xrpl.js bắt đầu từ ngày 21 tháng 4, 2025 và cũng thêm một chức năng mới để ăn cắp khóa riêng và gửi chúng đến một miền bên ngoài. Cuộc tấn công đã truy cập thông qua tài khoản npm bị xâm phạm của một nhân viên Ripple.
Dù vậy, không có bằng chứng về “cửa sau” trong kho mã nguồn GitHub. XRP Ledger Foundation đã đưa ra thông báo làm rõ và xác nhận rằng các phiên bản bị tấn công của xrpl.js đã bị xóa bỏ. Các nhà phát triển được khuyên nên sử dụng phiên bản 4,2,5 hoặc 2,14,3, với một báo cáo chi tiết sắp được công bố. Sự cố đã dấy lên lo ngại về bảo mật phần mềm, đặc biệt là trong lĩnh vực tiền điện tử, nơi có sự hỗ trợ rất quan trọng cho khách hàng và những khoản tiền lớn liên quan.
