Sicherheitswarnung für die XRP-Community
Die XRP-Community sieht sich einer schwerwiegenden Sicherheitswarnung gegenüber, die nach einem aktuellen Tweet der Sicherheitsplattform Aikido Security veröffentlicht wurde. In diesem Tweet informierte Aikido Security darüber, dass sie eine Hintertür im offiziellen XRPL NPM-Paket entdeckt haben.
Gefahr durch kompromittiertes NPM-Paket
Dieses beliebte Paket wird zur Integration von JavaScript/TypeScript-Anwendungen mit dem XRP Ledger genutzt, wenn erweiterte Funktionen erforderlich sind. Diese Hintertür kann private Schlüssel stehlen und direkt an Angreifer übermitteln, was eine dringende Warnung an alle XRP-Entwickler und -Projekte nach sich zog. Es wird geraten, besonders vorsichtig zu sein und sicherzustellen, dass Ihr Projekt nicht die neueste npm-Version verwendet, da dies alle mit der Bibliothek erstellten Konten gefährden kann. Die Versionen 4.2.1 bis 4.2.4 des XRPL NPM-Pakets sind betroffen. Die betroffenen Versionen wurden als 4.2.4, 4.2.3, 4.2.2 und 4.2.1 identifiziert.
Warnungen von Experten
Thomas Silkjaer, Leiter der Analyse und Compliance bei InFTF, retweetete den Beitrag von Aikido Security und gab ebenfalls eine Warnung aus. Er riet:
“Seien Sie vorsichtig. Stellen Sie sicher, dass Ihr Projekt nicht die neueste NPM-Version verwendet, da dies alle mit der Bibliothek erstellten Konten gefährdet.”
Auch Vet, ein XRPL-Dune-Validator, äußerte eine ähnliche Warnung:
“XRP Ledger-Entwickler und -Projekte – wenn Sie die XRPL JS-Bibliothek verwenden, aktualisieren Sie nicht und verwenden Sie keine Version 4.2.1 oder höher. Diese ist kompromittiert – jedes Projekt, das die neueste Version von XRPL JS nutzt, bringt Nutzer und Gelder in Gefahr. Bitte informieren Sie jedes Projekt und jeden Entwickler darüber.”
Der Infrastruktur-Anbieter Alloy Network twitterte ebenfalls eine dringliche Warnung und teilte die Meldung von Aikido Security:
“Das ist verifiziert. Die neueste Version des npm-Pakets ist kompromittiert. Rollen Sie zurück, wenn Sie auf der neuesten Version sind. Sofort.”
Informationen zur stabilen Version
Denis Angell, ein Software-Ingenieur bei XRPL Labs und Xahau, erklärte weiter, dass die derzeit stabile Version von xrpl.js 4.2.0 ist. Xaman Builder, verantwortlich für XRPL Labs, versicherte, dass “das kompromittierte xrpl.js NPM-Paket Xaman Wallet nicht betrifft. Xaman verwendet eigene Infrastruktur und Bibliotheken, die von XRPL Labs entwickelt wurden und ist nicht auf Drittanbieter-Bibliotheken wie xrpl.js angewiesen, um private Schlüssel oder Transaktionen zu verwalten. Die Nutzer von Xaman sind somit nicht betroffen.”
