Kritikus biztonsági rés az XRP ökoszisztémában – pénztárcákat célzó kód került a fejlesztői könyvtárba
Az XRP Ledger Foundation nyilvánosságra hozta, hogy súlyos biztonsági sebezhetőséget találtak az egyik leggyakrabban használt JavaScript könyvtárban. A hiba akár több százezer alkalmazást is érinthetett volna – de szerencsére időben közbeléptek.
Rosszindulatú hátsó kapu: hogyan kerülhetett be a kód?
2025. április 22-én a blokklánc-biztonságra szakosodott Aikido csapat számolt be arról, hogy egy nyílt forráskódú JavaScript csomag, amelyet széles körben használnak az XRP Ledger hálózattal való kapcsolódáshoz, kártékony módosítást tartalmazott. A támadók úgynevezett „hátsó kaput” helyeztek el a kódban, melyen keresztül hozzáférhettek a felhasználók privát kulcsaihoz, így potenciálisan kriptotárcákhoz is. Fontos kiemelni, hogy ez a biztonsági rés nem magát a blokklánc-hálózatot érintette, hanem egy külső fejlesztői eszközt, amit több weboldal és applikáció is beépített szolgáltatásaiba. Az Aikido így fogalmazott:
„Ez a csomag több százezer alkalmazásban és weboldalon van jelen, így potenciálisan az egyik legsúlyosabb ellátási láncot érintő támadás lehet a kriptovilág történetében.”
A kártékony kód látszólag ártalmatlanul viselkedik, de a végén egy gyanús „checkValidityOfSeed” nevű függvényt hív meg, amely kapcsolatba lép egy ismeretlen, nem hivatalos domainnel (0x9c[.]xyz) – ez utal arra, hogy privát kulcsokat próbálhat kiszivárogtatni. Forrás: aikido.dev
Gyors reagálás, minimalizált kockázat
Az XRP Ledger Foundation nem habozott: azonnal frissítette a hivatalos kódtárat, eltávolítva a rosszindulatú verziót. A közleményük szerint több jelentős XRP-projekt – például az XRPScan, a First Ledger és a Gen3 Games – megerősítette, hogy nem érintette őket az eset. A gyors intézkedéseknek köszönhetően a potenciális károk minimalizálhatók voltak. Mindez jól mutatja, mennyire fontos a folyamatos kódbiztonsági auditálás az olyan decentralizált ökoszisztémákban, ahol a nyílt forráskód előnye egyben sebezhetőséget is jelenthet.
Piaci reakció és növekvő intézményi érdeklődés
Miközben a hír elterjedt, az XRP token ára nem szenvedett jelentős visszaesést – sőt, a nap végére több mint 3,5%-os emelkedést mutatott. Ez azt sugallja, hogy a piac bizalma továbbra is fennáll. Az XRP Ledger, amely 2012 óta működik, különösen intézményi fizetésekre és decentralizált pénzügyi megoldásokra fókuszál. A kriptobarát amerikai politikai környezet, különösen Donald Trump 2024-es győzelme után, tovább ösztönözte az intézményi érdeklődést. Az XRP árfolyama azóta több mint megháromszorozódott, ami jól tükrözi a piaci bizalom erősödését. Ezzel párhuzamosan egyre több intézményi szereplő mutat érdeklődést: több vagyonkezelő hivatalosan is kérvényezte az amerikai Értékpapír- és Tőzsdefelügyeletnél (SEC) az XRP-alapú tőzsdén kereskedett alapok (ETF-ek) jóváhagyását. Április 21-én pedig a Coinbase is elindította az XRP határidős ügyletek kereskedését saját amerikai derivatív piacán, ami újabb mérföldkő az intézményi elismerés felé vezető úton.
Az XRP árának alalkulása az elmúlt 7 napon. Forrás: coingecko
Mit tanulhatunk az esetből?
Ez az incidens emlékeztetőül szolgál arra, hogy még a legrégebbi és legmegbízhatóbbnak tartott blokklánc-ökoszisztémák sem mentesek a kockázatoktól. A decentralizáció ereje mellett a biztonsági ellenőrzések és a közösségi visszacsatolás továbbra is kulcsfontosságú a kriptoinfrastruktúra stabilitásához.