Einleitung
Eine potenzielle Sicherheitskrise wurde in letzter Sekunde abgewendet, nachdem ein Hacker ein Zugangstoken eines Entwicklers ausgenutzt hatte, um schädlichen Code in ein wichtiges Toolkit einzuschleusen, das von Anwendungen im XRP Ledger verwendet wird.
Die Identifikation der Schwachstelle
Die Schwachstelle, die von dem Aikido-Security-Forscher Charlie Eriksen identifiziert wurde, hätte zu einem bedeutenden Lieferkettenangriff im Krypto-Ökosystem führen können. Der Hacker nutzte ein NPM-Token, um bösartige Versionen von xrpl.js im XRP Ledger zu veröffentlichen.
“Das hätte katastrophal sein können”, warnte Eriksen in einem Sicherheitsupdate und stellte fest, dass der Fehler theoretisch Angreifern ermöglicht hätte, private Schlüssel zu stehlen, wodurch die Krypto-Wallets gefährdet worden wären.
Laut Aikido Security erlangte der Angreifer Zugang zu einem Node Package Manager (NPM)-Token eines Entwicklers, was ihm ermöglichte, kompromittierte Versionen von xrpl.js, der offiziellen JavaScript-Bibliothek zur Interaktion mit dem XRP Ledger, zu veröffentlichen. Mit über 140.000 wöchentlichen Downloads ist das Paket in Hunderttausenden von Apps und Websites weit verbreitet, was Besorgnis über das potenzielle Ausmaß des Vorfalls aufwarf.
Reaktionen und Maßnahmen
Der schädliche Code wurde am 21. April entdeckt, als Aikidos Überwachungssystem fünf verdächtige Paketversionen meldete. Glücklicherweise bestätigten große XRP-bezogene Plattformen wie Xaman Wallet und XRPScan, dass sie nicht betroffen waren. Das Risiko beschränkte sich auf Drittanbieteranwendungen, die die kompromittierten Versionen – v4.2.1 bis v4.2.4 und v2.14.2 – während eines kurzen Zeitfensters installiert hatten, bevor das Problem eingedämmt wurde.
Die XRP Ledger Foundation reagierte schnell, verwarf die betroffenen Versionen und veröffentlichte ein gepatchtes Update (v4.2.5), und forderte alle Entwickler, die xrpl.js nutzen, auf, sofort ein Upgrade durchzuführen. Die Stiftung stellte klar, dass der Kerncode des XRP Ledger und das zugehörige GitHub-Repository unberührt blieben, da die Schwachstelle auf die externe JavaScript-Bibliothek beschränkt war.
Die Identität des Hackers
Obwohl die Identität des Hackers unbekannt bleibt, deutete Aikido Security an, dass sie Ermittlungshinweise hätten. Trotz der Aufregung zeigte XRP eine beeindruckende Widerstandsfähigkeit und stieg innerhalb der letzten 24 Stunden um 8,5 % im Rahmen einer breiteren Krypto-Marktrallye.
Zusammenfassung des SEC-Verfahrens gegen Ripple Labs
In einem weiteren Kontext endete das Verfahren der SEC gegen Ripple Labs nach über vier Jahren. Der Rechtsstreit zwischen Ripple Labs und der U.S. Securities and Exchange Commission (SEC) stellt eine bedeutende Entwicklung in der Regulierung von Kryptowährungen dar.
Im Dezember 2020 reichte die SEC eine Klage gegen Ripple Labs ein und behauptete, das Unternehmen habe ein nicht registriertes Wertpapierangebot durchgeführt, indem es XRP-Token veräußerte und mehr als 1,3 Milliarden Dollar einbrachte. Ripple wies den Anspruch zurück und argumentierte, dass XRP eine digitale Währung und kein Wertpapier sei.
Im Juli 2023 fällte die US-Bezirksrichterin Analisa Torres ein gemischtes Urteil: Sie stellte fest, dass XRP-Verkäufe an institutionelle Investoren gegen die Wertpapiergesetze verstießen, während Verkäufe an öffentlichen Börsen freien Handel handelten. Infolgedessen wurde Ripple zur Zahlung einer zivilrechtlichen Geldstrafe von 125 Millionen Dollar verurteilt.
Im März 2025 erzielten Ripple und die SEC eine Einigung. Laut der Vereinbarung würde Ripple 50 Millionen Dollar der zuvor auferlegten Geldstrafe zahlen, während 75 Millionen Dollar an das Unternehmen zurückgegeben würden. Beide Parteien einigten sich darauf, ihre jeweiligen Berufungen zurückzuziehen, was den Rechtsstreit effektiv beendete.
