Nachrichten
Hacker bricht in Ripples XRP-JavaScript-Bibliothek bei Lieferkettenangriff ein

Hacker bricht in Ripples XRP-JavaScript-Bibliothek bei Lieferkettenangriff ein

vor 3 Stunden
#XRP
Hacker bricht in Ripples XRP-JavaScript-Bibliothek bei Lieferkettenangriff ein

Was man wissen sollte:

  • Sicherheitsforscher entdeckten nicht autorisierten Code in der xrpl.js-Bibliothek zwischen 16:46 und 17:49 Uhr Eastern Time am Montag
  • Der bösartige Code konnte Wallet-Seeds und private Schlüssel an servergesteuerte Server übertragen
  • Große XRP-Projekte bestätigten, dass sie sicher bleiben, aber Benutzer, die betroffene Versionen heruntergeladen haben, sollten ihre Vermögenswerte sofort übertragen

Details zum Sicherheitsverstoß

Die Schwachstelle wurde von Aikido, einem auf Kryptowährungen spezialisierten Cybersicherheitsunternehmen, entdeckt, als Forscher verdächtigen Code in der offiziellen Node Package Manager-Distribution von xrpl.js identifizierten.

Mehrere Versionen der Bibliothek, die während des einstündigen Zeitfensters im NPM-Register veröffentlicht wurden, enthielten Hintertür-Funktionalitäten, die in der Lage waren, Benutzer-Wallets zu kompromittieren.

Charlie Eriksen, der Sicherheitsforscher, der den Exploit identifizierte, beschrieb den Vorfall als ein potenziell katastrophales Risiko für die Kryptowährungslieferkette. Das kompromittierte Paket könnte sensible Wallet-Zugangsdaten stehlen und sie direkt an servergesteuerte Server übermitteln. Diese Zugangsmöglichkeit würde Bedrohungsakteuren ermöglichen, die betroffenen Wallets zu kontrollieren und möglicherweise deren digitale Vermögenswerte unbefugt zu entziehen.

"Wenn Sie glauben, mit dem kompromittierten Code interagiert zu haben, sollten Sie davon ausgehen, dass Ihre Wallet-Schlüssel offengelegt sind", riet Eriksen in seinem Sicherheitsbulletin. "Betroffene Schlüssel sollten zurückgezogen, und Vermögenswerte sofort in neue Wallets transferiert werden."

Der Umfang der Schwachstelle scheint auf Dienste beschränkt zu sein, die die kontaminierten Versionen während des kurzen Expositionszeitraums am Montag heruntergeladen und integriert haben. Anwendungen und Projekte, die ihre Abhängigkeiten während dieses Zeitraums nicht aktualisiert haben, bleiben wahrscheinlich von dem Verstoß unberührt, so die mit dem Vorfall vertrauten Sicherheitsexperten.

Mehrere prominente Projekte im XRP-Ökosystem, darunter Xaman Wallet und XRPScan, haben Erklärungen abgegeben, dass ihre Plattformen sicher bleiben. Dennoch haben Sicherheitsexperten in der Kryptowährungsindustrie sowohl Benutzer als auch Entwickler dazu aufgefordert, erhöhte Vorsicht walten zu lassen.

Reaktion und Milderungsmaßnahmen

Ingenieure der XRP Ledger Foundation reagierten schnell, nachdem der Verstoß identifiziert wurde. Aktualisierte, sichere Versionen der xrpl.js-Bibliothek wurden kurz nach der Entdeckung veröffentlicht, die die zuvor auf NPM verfügbaren bösartigen Pakete effektiv überschrieben. Das Entwicklungsteam hat eine Empfehlung herausgegeben, dass alle Benutzer und Projekte ohne Verzögerung auf die neueste sichere Version aktualisieren sollten, um eine potenzielle Ausnutzung zu verhindern.

In einer offiziellen Erklärung verpflichtete sich die XRP Ledger Foundation, nach Abschluss ihrer internen Sicherheitsüberprüfung eine umfassende Fehleranalyse zu veröffentlichen.

Diese Analyse wird voraussichtlich weitere Details bezüglich des Angriffsszenarios liefern und wie zukünftige Vorfälle verhindert werden könnten.

In der Zwischenzeit wurden Entwickler, die für ihre Projekte auf xrpl.js angewiesen sind, dringend aufgefordert, gründliche Überprüfungen ihrer Codebasen durchzuführen, um potenzielle Expositionen gegenüber den betroffenen Bibliotheksversionen zu identifizieren. Die Dringlichkeit dieser Empfehlungen spiegelt die ernste Natur der Schwachstelle wider.

Der Verstoß hat aufgrund der weit verbreiteten Akzeptanz von xrpl.js innerhalb des Ripple-Ökosystems eine erhöhte Bedeutung. Als die offizielle Bibliothek der XRP Ledger Foundation für JavaScript-basierte Blockchain-Interaktionen ermöglicht das Paket kritische Funktionen einschließlich Wallet-Operationen und Token-Transfers über zahlreiche Anwendungen und Dienste hinweg.

Mit über 140.000 Downloads in der Woche vor dem Angriff unterstreicht die Beliebtheit der Bibliothek die potenzielle Reichweite und den Einfluss, hätte der bösartige Code für eine längere Zeit unentdeckt geblieben. Sicherheitsexperten weisen darauf hin, dass die schnelle Identifizierung ein Ereignis verhindert hat, das ansonsten weitaus schädlicher hätte sein können.

Dieser Sicherheitsverstoß stellt ein weiteres Beispiel in einer wachsenden Reihe von Lieferkettenangriffen dar, die auf die Kryptowährungsindustrie abzielen. Derartige Vorfälle nutzen die starke Abhängigkeit der Branche von weit verbreiteten Open-Source-Abhängigkeiten aus, die bei Kompromittierung zu erheblichen finanziellen Schäden führen können.

Abschließende Gedanken

Die schnelle Entdeckung und Reaktion auf die Kompromittierung der xrpl.js-Bibliothek hat wahrscheinlich weit verbreitete finanzielle Verluste im XRP-Ökosystem verhindert. Dieser Vorfall dient als deutliche Erinnerung an die Sicherheitslücken, die in der Kryptowährungsinfrastruktur inhärent sind, sowie die Bedeutung der aufmerksamen Überwachung von Open-Source-Abhängigkeiten.

Haftungsausschluss: Die in diesem Artikel bereitgestellten Informationen dienen ausschließlich Bildungszwecken und sollten nicht als Finanz- oder Rechtsberatung betrachtet werden. Führen Sie immer Ihre eigene Recherche durch oder konsultieren Sie einen Fachmann, wenn Sie mit Kryptowährungsanlagen umgehen.
Neueste Nachrichten
Alle Nachrichten anzeigen
Der Kryptomarkt reagiert auf Paul Atkins als neuer SEC-Vorsitzender, signalisiert regulatorische Umgestaltung
vor 31 Minuten
Paul Atkins wird als SEC-Vorsitzender vereidigt und erwartet, dass die neue Führung für klare Regeln sorgt und Innovationen fördert, während Anlegerschutz gewährleistet wird.
Französische Zentralbank schätzt 25-Punkte-Wachstumsrückgang aufgrund von vorgeschlagenen US-Zöllen
vor 5 Stunden
Der Gouverneur der Banque de France fordert den Erhalt des IWF und der Weltbank mit einem fokussierteren Mandat angesichts der Unsicherheit durch die US-Politik in multilateralen Organisationen.
Ethereum steigt um 15 %, gewinnt Marktanteile bei Krypto-Markt-Rallye zurück
vor 5 Stunden
Ethereum, die zweitgrößte Kryptowährung der Welt nach Marktkapitalisierung, stieg in den letzten 24 Stunden um fast 15 % und erreichte laut CoinMarketCap am 23. April 2025, $1.820. Die Rallye übertra
Bitcoin nähert sich $94.000, während Analysten vor fehlender Stablecoin-Unterstützung warnen
vor 7 Stunden
Bitcoin steigert sich um 12% in einer Woche, ETFs mit Höchstzuflüssen seit Januar, aber Analysten warnen vor früher Freude wegen schwacher Stablecoin-Aktivität.
XRP hält Preis von $2,10 trotz Rückgang neuer Adressen auf 5-Monats-Tief
vor 9 Stunden
XRP könnte Schwierigkeiten haben, seinen Preis zu halten, da neue Adressen ein 5-Monats-Tief erreicht haben und dies auf ein nachlassendes.
Vera Capital verpflichtet sich zu einem $1 Milliarden Tokenisierungsprogramm mit Blocksquare
vor 19 Stunden
Blocksquare und Vera Capital schließen Partnerschaft, um $1 Mrd. US-Immobilien zu tokenisieren; Neuer Marktplatz für globalen Investorenzugang.
Tägliche Markt-Highlights: POPCAT reitet auf der Hype-Welle, während globale Märkte Vertrauen verlieren
vor 21 Stunden
Die heutige Dynamik zeigt eine starke Risikobereitschaft, insbesondere in Bereichen wie Memecoins und neuen Protokollen, die institutionelle Unterstützung oder Sichtbarkeit bei Börsen gewinnen.