Die XRP Ledger Foundation hat vor einer Sicherheitslücke im offiziellen JavaScript SDK gewarnt, das mit XRPL interagiert.
Am 21. April gab Aikido Security bekannt, dass mehrere Versionen seiner Node Package Manager (NPM)-Software kompromittiert und veröffentlicht wurden, die eine Hintertür enthielten, die in der Lage war, die privaten Schlüssel der Benutzer zu stehlen.
Sicherheitslücke im Entwicklerkit
Die XRP Ledger Foundation bestätigte das Problem in einer Erklärung vom 22. April:
„Heute hat ein Sicherheitsforscher von @AikidoSecurity eine schwerwiegende Schwachstelle im xrpl npm-Paket (v4.2.1-4.2.4 und v2.14.2) identifiziert.“
Als Reaktion auf den Verstoß versicherte Wietse Wind, Gründer und CEO von XRPL Labs, den Benutzern, dass Xaman Wallet von dem Verstoß nicht betroffen sei. Wind erklärte, dass das Produkt nicht xrpl.js verwendet, sondern stattdessen auf den Bibliotheken xrpl-client und xrpl-accountlib basiert, die die Wallet-Konnektivität vom Signaturprozess trennen.
Darin wurde auch detailliert beschrieben, wie sich der Vorfall abspielte: Der Schadcode im xrpl.js-Paket habe generierte oder importierte private Schlüssel an einen vom Angreifer kontrollierten externen Server gesendet. Dies ermöglichte es Hackern, Schlüsselpaare zu sammeln, auf die Finanzierung der Wallets zu warten und dann die Vermögenswerte zu stehlen.
Wind forderte jeden, der kürzlich ein XRP-Wallet mithilfe der API oder verwandter Tools erstellt hat, auf, davon auszugehen, dass es kompromittiert wurde, und sein Geld sofort zu überweisen.
Er betonte, dass solche Angriffe bei jeder Software auftreten können, die auf Bibliotheken von Drittanbietern basiert, und dass Entwickler Vorsichtsmaßnahmen treffen müssen. Er empfahl außerdem, den Zugriff auf Veröffentlichungen einzuschränken, Code vor der Veröffentlichung zu scannen, automatische Veröffentlichungspipelines zu vermeiden und private Schlüssel nicht direkt zu verwalten, es sei denn, man ist vollständig auf die Bewältigung der damit verbundenen Risiken vorbereitet.
XRPL veröffentlicht dringenden Patch
Nach dem Vorfall veröffentlichte die XRP Ledger Foundation eine saubere Version des NPM-Pakets, entfernte den Schadcode und stellte sicher, dass das SDK von Entwicklern sicher wiederverwendet werden kann.
Aikido Security entdeckte die Schwachstelle, nachdem sein automatisiertes Bedrohungsüberwachungssystem verdächtige Updates des XRPL-Pakets auf NPM gemeldet hatte. Diese Updates, die von einem Benutzer namens „mukulljangid“ gepostet wurden, umfassten fünf neue Veröffentlichungen, die mit keinen offiziellen Veröffentlichungen im XRP Ledger GitHub-Repository übereinstimmten.
Nach einer Untersuchung stellte Aikido fest , dass die kompromittierten Versionen eine schädliche Funktion namens checkValidityOfSeed enthielten, die private Schlüssel an den Server des Hackers unter der Adresse 0x9c[.]xyz sendete, als Benutzer eine Wallet erstellten, mit der sie ihre Kryptowährungen stehlen konnten.
Frühere Versionen (v4.2.1 und v4.2.2) versteckten die Hintertür in kompilierten JavaScript-Dateien, während spätere Versionen (v4.2.3 und v4.2.4) den Schadcode direkt in TypeScript-Quelldateien einbetteten, was die Erkennung erschwerte. Die kompromittierten Pakete entfernten auch Entwicklungstools wie Prettier und erstellten Skripte aus der Datei package.json, was auf eine absichtliche Manipulation schließen lässt.
Der Vorfall ereignete sich nur wenige Wochen, nachdem Ripple die Übernahme des Prime-Broker-Unternehmens Hidden Road im Wert von 1,25 Milliarden US-Dollar bekannt gegeben hatte. Experten sagen, dass dieser Schritt XRPL zu einem wichtigen Kanal für institutionelle Fonds machen wird.
Laut Brad Garlinghouse, CEO von Ripple, wird das Netzwerk für die Post-Trade-Abwicklung einiger Transaktionen genutzt und es möglicherweise in eine Clearing- und Kreditplattform im Unternehmensmaßstab umgewandelt.
Der Beitrag „XRP Ledger SDK kompromittiert durch Backdoor Exploit“ erschien zuerst auf CryptoPotato .