XRP Ledger SDK durch Backdoor-Exploit kompromittiert

23. April 2025, 20:15 Uhr · Quelle: cryptoBro
Bitcoins Und Us Dollar Rechnungen
Foto: @David McBee via Pexels
Die XRP Ledger Foundation warnte vor einer Sicherheitslücke im JavaScript-SDK, die private Schlüssel gestohlen hat. Nutzer wurden aufgefordert, ihre Gelder sofort zu übertragen, und es wurde eine bereinigte Version des SDKs veröffentlicht, um die Schwachstelle zu beheben.

Die XRP Ledger Foundation hat vor einer Sicherheitslücke in dem offiziellen JavaScript-SDK gewarnt, das mit dem XRP Ledger (XRPL) interagiert.

Am 21. April gab Aikido Security bekannt, dass mehrere Versionen ihrer Node Package Manager (NPM)-Software kompromittiert und veröffentlicht wurden, die eine Hintertür enthielten, um private Schlüssel von Nutzern zu stehlen.

Sicherheitsmangel im Entwicklerkit

Die XRP Ledger Foundation bestätigte das Problem am 22. April:

“Earlier today, a security researcher from @AikidoSecurity identified a serious vulnerability in the xrpl npm package (v4.2.1-4.2.4 and v2.14.2).”

Als Reaktion auf den Vorfall beruhigte Wietse Wind, Gründer und CEO von XRPL Labs, die Nutzer, dass die Xaman Wallet nicht von der Schwachstelle betroffen sei. Wind erklärte, dass das Produkt nicht xrpl.js verwendet, sondern auf seine eigenen Bibliotheken xrpl-client und xrpl-accountlib setzt, die die Wallet-Konnektivität vom Signaturprozess trennen.

Er beschrieb auch, wie sich der Vorfall abspielte und erklärte, dass der bösartige Code im xrpl.js-Paket generierte oder importierte private Schlüssel an einen externen Server sendete, der vom Angreifer kontrolliert wurde. Dadurch konnten Hacker Schlüsselpaaren sammeln, auf die Finanzierung der Wallets warten und dann die Vermögenswerte stehlen.

Wind forderte alle auf, die kürzlich eine XRP-Wallet mit der API oder verwandten Tools erstellt hatten, davon auszugehen, dass diese kompromittiert wurde, und ihre Gelder sofort zu übertragen.

Er betonte, dass solche Angriffe auf jede Software erfolgen können, die auf Drittanbieterbibliotheken angewiesen ist, und dass Entwickler Vorsichtsmaßnahmen treffen müssen. Er riet dazu, den Veröffentlichungszugang zu beschränken, Code vor dem Release zu überprüfen, automatische Veröffentlichungspipelines zu vermeiden und private Schlüssel nur dann direkt zu verwalten, wenn man vollständig in der Lage ist, die damit verbundenen Risiken zu handhaben.

XRPL gibt dringenden Patch heraus

Nach dem Vorfall hat die XRP Ledger Foundation eine bereinigte Version des NPM-Pakets veröffentlicht, den bösartigen Code entfernt und sichergestellt, dass das SDK für Entwickler wieder sicher ist.

Aikido Security entdeckte die Schwachstelle, nachdem ihr automatisiertes Bedrohungsüberwachungssystem verdächtige Updates des XRPL-Pakets auf NPM meldete. Diese Updates, veröffentlicht von einem Benutzer namens “mukulljangid”, umfassten fünf neue Versionen, die mit keinem offiziellen Release im GitHub-Repository des XRP Ledgers übereinstimmten.

Nach einer Untersuchung stellte Aikido fest, dass die kompromittierten Versionen eine bösartige Funktion namens checkValidityOfSeed enthielten, die private Schlüssel an den Server des Hackers unter 0x9c[.]xyz sendete, wenn Benutzer eine Wallet erstellten, die es ihnen ermöglichen könnte, ihre Kryptoassets zu stehlen.

Frühe Versionen (v4.2.1 und v4.2.2) versteckten die Hintertür in kompilierten JavaScript-Dateien, während spätere Versionen (v4.2.3 und v4.2.4) den bösartigen Code direkt in TypeScript-Quelldateien einbetteten, was die Erkennung erschwerte. Die kompromittierten Pakete entfernten auch Entwicklungstools wie Prettier und Build-Skripte aus der package.json-Datei, was auf eine absichtliche Manipulation hinweist.

Der Vorfall ereignet sich nur wenige Wochen, nachdem Ripple die $1,25 Milliarden schwere Übernahme der Prime-Brokerage-Firma Hidden Road bekannt gab, ein Schritt, von dem Experten glauben, dass er XRPL zu einem wichtigen Kanal für institutionelle Gelder machen wird.

Laut Ripple-CEO Brad Garlinghouse wird das Netzwerk für die Nachhandelsabwicklung bei einigen Transaktionen genutzt, was es möglicherweise in eine Clearing- und Kreditplattform im Unternehmensmaßstab verwandelt.

Finanzen / Crypto / XRP Ledger / Sicherheitslücke / Backdoor-Exploit
23.04.2025 · 20:15 Uhr
[0 Kommentare]
Tote bei Unfall auf A48 bei Koblenz
Bassenheim (dpa) - Bei einem Unfall eines Kleinbusses auf der Autobahn 48 bei der rheinland-pfälzischen Stadt Koblenz sind in der Nacht mindestens drei Menschen tödlich verletzt worden. Sechs weitere Menschen seien schwer verletzt in ein Krankenhaus gebracht worden, sagte der Einsatzleiter der Feuerwehr der Deutschen Presse-Agentur. Zu der Nachfrage, ob jemand lebensbedrohlich verletzt sei, wollte […] (00)
vor 19 Minuten
Verona Pooth
(BANG) - Diego Pooth hat sich bei 'Let’s Dance' den Siegerpokal geholt. Im Finale der aktuellen Staffel traten erstmals in der Geschichte der RTL-Sendung drei männliche Promi-Kandidaten gegeneinander an. Obwohl der 21-jährige Nachwuchsstar mit den Profisportlern Fabian Hambüchen und Taliso Engel starke Konkurrenz auf dem Parkett hatte, konnte Diego sowohl die Jury als auch die Zuschauer vor den […] (02)
vor 22 Stunden
Review: PLAUD Note/NotePin: Der smarte Notizhelfer
In einer Welt, in der Informationen schneller fließen als je zuvor, sind smarte Notizlösungen für viele Professionals längst kein Luxus mehr, sondern absolute Notwendigkeit. Ob im Büro, im Hörsaal oder unterwegs – wer schnell und strukturiert Informationen erfassen und verarbeiten will, braucht zuverlässige Technik an seiner Seite. Genau hier setzt der PLAUD Note an. Dieses handliche, […] (00)
vor 12 Stunden
Switch 2: Publisher teast Shenmue 3 für die Hybridkonsole!
ININ Games Der Publisher ININ Games hat seinen Sitz in Deutschland und hat sich auf Retro und Arcade Klassiker spezialisiert. 2024 hat der Publisher die Rechte für Shenmue 3 erworben. Deshalb ist es wahrscheinlich, dass ein Port oder gar eine Special Edition von diesem veröffentlicht werden wird. So könnte es passieren, dass der PlayStation Exklusivtitel für die Xbox Series X/S erscheint. […] (00)
vor 14 Stunden
Neue Folgen von «Mystery at Blind Frog Ranch» starten
Der Fernsehsender Discovery Channel setzt die Reihe mit zahlreichen neuen Folgen fort. Nach jahrelanger Suche nach dem verlorenen Gold der Azteken nimmt Mystery at Blind Frog Ranch eine entscheidende Wendung, als das Team erstaunliche neue Erkenntnisse gewinnt, die es an den Rand einer Entdeckung bringen. Doch das rätselhafte Land schlägt erneut zurück und offenbart, dass noch größere Geheimnisse und Mysterien unter seiner Oberfläche verborgen […] (00)
vor 1 Stunde
Julian Nagelsmann
München (dpa) - Florian Wirtz hat wegen seiner Zukunftspläne auch Kontakt mit Fußball-Bundestrainer Julian Nagelsmann. Sie hätten ein paar Nachrichten ausgetauscht, sagte Nagelsmann am Rande des Finales um den DFB-Pokal dem Bezahlsender Sky. Er versuche, Wirtz nach bestem Wissen und Gewissen Tipps zu geben, «wenngleich ich ihm auch sage, die Entscheidung kann ich dir nicht abnehmen». Er habe auch […] (00)
vor 4 Stunden
Free-Domains für jedermann
Koeln, 24.05.2025 (PresseBox) - In der digitalen Welt ist die Wahl der richtigen Domain weit mehr als eine technische Entscheidung – sie ist der erste Eindruck, das digitale Aushängeschild und ein zentrales Element jeder Markenstrategie. Mit der General Availability (GA) der Free-Domains, Spot-Domains und Hot-Domains am 19. Mai 2025 öffnete sich ein neues Kapitel für kreative Webprojekte, […] (00)
vor 24 Stunden
 
Ticket-Boom, aber Margendruck: Warum CTS Eventim Anleger enttäuscht
Umsatz feiert, Aktie fällt Ein Umsatzplus von 22 %, neue Rekordzahlen im Live-Geschäft, […] (00)
Immobilienkredite steigen um 32 Prozent – Rückkehr der Käufer treibt Preise wieder an
Mit einem Anstieg um 31,9 Prozent auf 24,4 Milliarden Euro ist die Vergabe neuer […] (00)
USA entziehen Harvard das Visumrecht für Ausländer – Justiz stoppt Trumps Vorstoß vorerst
Harvard darf vorerst keine neuen internationalen Studierenden mehr aufnehmen – so lautet die […] (01)
Forscher beweisen: Vitamin-D-Einnahme bremst Alterung um drei Jahre aus
Vitamin D gehört zu den wenigen Nahrungsergänzungsmitteln, die ausdrücklich zur täglichen […] (03)
William, Prinz von Wales, bringt eine neue Naturserie namens 'Guardians' auf den Markt.
(BANG) - William, Prinz von Wales, bringt eine neue Naturserie namens 'Guardians' auf den […] (00)
Schweiz - Dänemark
Stockholm (dpa) - Die Schweiz hat das dänische Eishockey-Märchen bei der Weltmeisterschaft […] (03)
Synology zeigt DS225+, DS425+ und DS725+
Auf der diesjährigen Computex in Taipeh (Taiwan) hat Synology einige spannende Produkte […] (00)
Hornbach wächst – und warnt
Wachstum in der Flaute Während viele Handelsketten über Umsatzrückgänge klagen, liefert […] (00)
 
 
Suchbegriff