Peter Todd kritisiert Ripple
In einem aktuellen Beitrag in den sozialen Medien hat Peter Todd, der prominente kanadische Bitcoin-Entwickler und in einer HBO-Dokumentation von 2024 als der wahrscheinlichste Kandidat für Satoshi Nakamoto identifiziert, Ripple scharf kritisiert. Dies geschah, nachdem ein Hintertürchen in der JavaScript-Bibliothek entdeckt wurde, die für das XRP Ledger (XRPL) verwendet wird. Todd erinnerte daran, dass er bereits vor einem Jahrzehnt vor einer solchen Schwachstelle gewarnt hatte.
Entdeckung einer Schwachstelle
Wie U.Today berichtet, warnte der CTO von Ripple, David Schwartz, kürzlich vor bösartigem Code in der Bibliothek, der ursprünglich von Aikido Security entdeckt wurde. Diese Hintertür ermöglichte es, private Schlüssel an eine verdächtige Domain zu senden, was Angreifern ermöglichte, die privaten Schlüssel von Benutzern zu stehlen, die die kompromittierten Versionen des XRPL-Software-Entwicklungskits (SDK) verwenden.
Frühere Warnungen von Todd
Zuvor hatte Todd ein Papier veröffentlicht, in dem er behauptete, dass die Sicherheit von Ripple gefährdet sei, da keine kryptografische PGP-Signatur zur Verifizierung ihres Codes bereitgestellt werde. Das könnte Hackern potenziell die Möglichkeit bieten, bösartigen Code einzuschleusen und gefälschte Versionen der Software zu verbreiten. Ironischerweise trat genau die gleiche Art von Angriff ein Jahrzehnt später auf, als eine NPM-Komprimierung zu der bösartigen Hintertür führte.
Reaktionen und Geständnisse
Auffälligerweise gab Schwartz zu, dass seine Warnung „zu dieser Zeit“ im Februar korrekt war. Gleichzeitig räumte Todd ein, dass auch seine eigene Softwarebibliothek nicht PGP-signiert ist, weil das Python Package Index (PyPi) die Unterstützung solcher Downloads eingestellt hat.
“Fairerweise muss ich sagen, dass meine python-bitcoinlib-Bibliothek im Moment für die meisten Benutzer nicht PGP-signiert ist, weil PyPi die unkluge Entscheidung getroffen hat, PGP-Signaturen abzulehnen. Aber meine Hände sind diesbezüglich gebunden; die gesamte Softwarebranche ist inkompetent,” äußerte er.
