Eine kritische Sicherheitslücke wurde in der offiziellen JavaScript-Bibliothek xrpl.js des XRP Ledger entdeckt. Cyberkriminelle haben erfolgreich schadhaften Code in mehrere Versionen der Bibliothek eingeschleust, darunter Version 2.14.2 sowie die Releases 4.2.1-4.2.4, die am 21. April 2025 über npm veröffentlicht wurden. Diese Kompromittierung stellt eine ernsthafte Bedrohung für die Sicherheit von XRP-Wallets dar.
Analyse der Angriffsmethode und Schadenspotential
Das Sicherheitsunternehmen Aikido identifizierte eine bösartige Funktion namens „checkValidityOfSeed“ in der Datei /src/index.ts. Diese wurde speziell entwickelt, um sensitive Wallet-Daten wie Seed-Phrasen, Private Keys und mnemonische Phrasen zu extrahieren. Die gestohlenen Informationen wurden über getarnte HTTP POST-Anfragen, die als Werbedaten getarnt waren, an Server unter der Kontrolle der Angreifer übermittelt.
Technische Implikationen und Verbreitungsgrad
Die xrpl.js-Bibliothek, die von der XRP Ledger Foundation (XRPLF) betreut wird, verzeichnete in der vergangenen Woche über 140.000 Downloads. Obwohl die kompromittierten Versionen nur 452 Mal heruntergeladen wurden, könnte der tatsächliche Schaden weitaus größer sein, da eine einzelne Bibliotheksinstanz zur Verwaltung zahlreicher Wallets verwendet werden kann.
Sicherheitsmaßnahmen und Handlungsempfehlungen
Die XRP Ledger Foundation hat umgehend reagiert und empfiehlt allen Nutzern dringend ein Update auf die sichere Version 4.2.5. Entwickler und Organisationen, die potenziell betroffene Versionen eingesetzt haben, sollten folgende Schritte durchführen:
– Sofortige Rotation aller Private Keys
– Deaktivierung möglicherweise kompromittierter Master-Keys
– Überprüfung aller Systeme auf verdächtige Aktivitäten
Auswirkungen auf das XRP-Ökosystem
Die Hauptcodebasis des XRP Ledger und das GitHub-Repository blieben von diesem Angriff unberührt. Große Projekte wie Xaman Wallet, XRPScan, First Ledger und Gen3 Games haben bestätigt, dass ihre Systeme nicht kompromittiert wurden. Der Schweregrad der Sicherheitslücke wurde mit der CVE-ID 2025-32965 und einem kritischen CVSS-Score von 9,3 eingestuft.
Diese Sicherheitslücke unterstreicht die Bedeutung regelmäßiger Sicherheitsaudits und schneller Updates in der Krypto-Infrastruktur. Entwickler und Nutzer sollten ihre Sicherheitspraktiken überprüfen und automatische Dependency-Updates kritisch hinterfragen. Die Implementation von zusätzlichen Sicherheitsmaßnahmen wie Multi-Signatur-Wallets und Hardware-Security-Modulen kann das Risiko ähnlicher Vorfälle in Zukunft minimieren.
