Hacker versucht, XRP-Ledger über Entwicklerzugang anzugreifen, Sicherheitsteam stoppt ihn

Eine potenzielle Sicherheitskrise wurde knapp vermieden, nachdem ein Hacker das Zugangstoken eines Entwicklers ausgenutzt hat, um bösartigen Code in ein wichtiges Toolkit einzuschleusen, das von Anwendungen auf dem XRP Ledger verwendet wird.

Die vom Aikido Security-Forscher Charlie Eriksen entdeckte Schwachstelle hätte zu einem großen Angriff auf die Lieferkette im gesamten Krypto-Ökosystem führen können.

Hacker nutzt NPM-Token aus, um bösartige xrpl.js-Versionen auf XRP Ledger zu veröffentlichen

Nach Angaben von Aikido Security verschaffte sich der Angreifer Zugang zum Node Package Manager (NPM) Token eines Entwicklers und konnte so kompromittierte Versionen von xrpl.js veröffentlichen, der offiziellen JavaScript-Bibliothek für die Interaktion mit dem XRP Ledger.

Mit mehr als 140.000 wöchentlichen Downloads ist das Paket in Hunderttausenden von Apps und Websites integriert, was die Besorgnis über das mögliche Ausmaß des Einbruchs erhöht.

„Dies hätte katastrophale Folgen haben können“, warnte Eriksen in einem Sicherheitsupdate und wies darauf hin, dass die Schwachstelle es Angreifern theoretisch ermöglicht, private Schlüssel zu stehlen und damit Krypto-Wallets zu gefährden.

Der bösartige Code wurde am 21. April entdeckt, als das Überwachungssystem von Aikido fünf verdächtige Paketversionen meldete.

🚨We have discovered a backdoor in the official #xrpl NPM package. This back door steals private keys and sends them to attackers. The affected versions 4.2.1 – 4.2.4, if you are using an earlier version, do not upgrade.#crypto #malware #npm pic.twitter.com/wshcTFKjbR

— Aikido Security (@AikidoSecurity) April 22, 2025

Glücklicherweise bestätigten wichtige XRP-bezogene Plattformen wie Xaman Wallet und XRPScan, dass sie nicht betroffen sind.

Das Risiko beschränkte sich auf Anwendungen von Drittanbietern, die die kompromittierten Versionen – v4.2.1 bis v4.2.4 und v2.14.2 – in einem kurzen Zeitfenster installierten, bevor das Problem eingedämmt wurde.

Die XRP Ledger Foundation hat schnell reagiert, die betroffenen Versionen außer Kraft gesetzt und ein gepatchtes Update, v4.2.5, veröffentlicht und alle Entwickler, die xrpl.js verwenden, aufgefordert, sofort zu aktualisieren.

Die Stiftung stellte klar, dass der Kerncode von XRP Ledger und das GitHub-Repository nicht betroffen waren, da die Schwachstelle auf die externe JavaScript-Bibliothek beschränkt war.

Während die Identität des Hackers unbekannt bleibt, hat Aikido Security angedeutet, dass es Hinweise gibt, die untersucht werden.

With today’s npm vulnerability, it’s a clear reminder about truly knowing what you’re using.

At Xaman, our track record speaks for itself.

We’ve been feature-complete, security-first from day one, building everything in-house.

No shortcuts.

This is what trust looks like. https://t.co/LH1nEFrlPH

— Robert @XamanWallet (@robertkiuru) April 22, 2025

Trotz des Schreckens zeigten sich die XRP-Preise widerstandsfähig und stiegen in den letzten 24 Stunden um 8,5 % inmitten einer breiteren Rallye am Kryptomarkt.

SEC-Klage gegen Ripple Labs nach vier Jahren abgeschlossen

Der Rechtsstreit zwischen Ripple Labs und der U.S. Securities and Exchange Commission (SEC) ist nach mehr als vier Jahren beendet und stellt eine wichtige Entwicklung in der Kryptowährungsregulierung dar.

Im Dezember 2020 reichte die SEC eine Klage gegen Ripple Labs ein, in der sie dem Unternehmen vorwarf, durch den Verkauf von XRP-Tokens ein unregistriertes Wertpapierangebot durchgeführt und dabei über 1,3 Milliarden Dollar eingenommen zu haben.

Ripple bestritt die Klage und argumentierte, dass XRP eine digitale Währung und kein Wertpapier sei.

Im Juli 2023 fällte die US-Bezirksrichterin Analisa Torres ein gemischtes Urteil: Sie stellte fest, dass der Verkauf von XRP an institutionelle Anleger gegen die Wertpapiergesetze verstößt, der Verkauf an öffentlichen Börsen jedoch nicht.

Folglich wurde Ripple zur Zahlung einer Zivilstrafe in Höhe von 125 Millionen Dollar verurteilt.

Im März 2025 einigten sich Ripple und die SEC auf einen Vergleich. Im Rahmen der Vereinbarung würde Ripple 50 Millionen Dollar der zuvor verhängten Strafe zahlen und die restlichen 75 Millionen Dollar an das Unternehmen zurückzahlen.

Beide Parteien erklärten sich bereit, ihre jeweiligen Berufungen zurückzuziehen und damit den Rechtsstreit zu beenden.