XRP Ledger Foundation警告说，与XRPL互动的官方JavaScript SDK中有安全漏洞。

4月21日，Aikido Security透露，其节点软件包管理器（NPM）软件的多个版本被妥协和发布，其中包含一个可以从用户那里窃取私钥的后门。

开发人员套件中的安全缺陷

XRP Ledger基金会在4月22日的陈述:

“今天早些时候，来自@aikidosecurity的安全研究人员在XRPL NPM软件包（v4.2.1-4.2.4和v2.14.2）中确定了严重的漏洞。”

为了响应违规行为，XRPL实验室的创始人兼首席执行官Wietse Wind，放心Xaman钱包的用户不受缺陷的影响。 Wind解释说，该产品不使用Xrpl.js，而是依赖其XRPL-CLIENT和XRPL-ACCOUNTLIB库，这些库将钱包连接与签名过程分开。

他还详细介绍了事件的展开方式，并指出了Xrpl.js软件包中的恶意代码发送给了由攻击者控制的外部服务器生成或导入的私钥。这使黑客能够收集钥匙对，等待钱包的资助，然后窃取资产。

Wind敦促任何最近使用API​​或相关工具创建XRP钱包的人，以假设其已被妥协并立即转移其资金。

他强调，任何依靠第三方库的软件都可能发生这种攻击，开发人员必须采取预防措施。他还建议限制发布访问权限，发布前扫描代码，避免自动出版管道以及除非准备好应对相关风险，否则不要直接管理私钥。

XRPL发行紧急补丁

事件发生后，XRP分类帐基金会有发行NPM软件包的干净版本，删除恶意代码并确保SDK安全可让开发人员再次使用。

Aikido Security在其自动化威胁监控系统标记了NPM上XRPL软件包的可疑更新后发现了漏洞。这些更新由名为“ MukullJangid”的用户发布，其中包含五个新版本，这些版本与XRP Ledger GitHub存储库上的任何官方版本都不匹配。

调查后，适合成立折衷的版本包含一个称为CheckValityofsed的恶意功能，该功能将私钥发送到0x9C [。] XYZ的hacker Server，当用户创建一个可以允许他们窃取其加密货币的钱包时。

早期版本（v4.2.1和v4.2.2）将后门隐藏在编译的JavaScript文件中，而后期版本（v4.2.3和v4.2.4）将恶意代码直接嵌入了打字稿源文件中，从而使其更难检测到。折衷的软件包还删除了诸如Prettier的开发工具，并从软件包中构建脚本。JSON文件，显示故意操纵。

该事件发生在Ripple宣布12.5亿美元的几周后。获得在主要经纪公司Hidden Road中，一位举动专家认为，XRPL将变成机构资金的主要渠道。

Ripple首席执行官布拉德·加林豪斯（Brad Garlinghouse）表示，该网络将用于某些交易的交易后定居点，有可能将其变成公司规模清算和信用平台。