Met de ‘backdoor’ konden mogelijke kwaadwillenden toegang verkrijgen tot crypto-wallets. De onderzoeker die de achterdeur op het spoor kwam geeft advies aan XRP-gebruikers die denken slachtoffer te zijn van de code.
Backdoor ontdekt in belangrijke JavaScript-bibliotheek
Volgens de XRP Ledger Foundation is de kwetsbaarheid opgespoord in de bibliotheek ‘xrpl.js’. Deze is essentieel voor veel applicaties die interactie hebben met de XRP Ledger.
Ontwikkelaars ontdekten dat een derde partij zonder toestemming wijzigingen had aangebracht in een oudere versie van deze bibliotheek. Deze aanpassing creëerde een ‘backdoor’, waarmee het mogelijk was om geheime sleutels van gebruikers te stelen en zo toegang te krijgen tot hun fondsen.
De code was bijzonder gevaarlijk omdat deze pas na installatie werd geactiveerd, waardoor traditionele veiligheidscontroles de aanvankelijke besmetting mogelijk niet detecteerden. Hierdoor kon de achterdeur onopgemerkt blijven.
Blockchainbeveiligingsspecialist Aikido Security ontdekte de aanval. “Op 21 april om 20:53 GMT+0 begon ons systeem, Aikido Intel, ons te waarschuwen voor vijf nieuwe pakketversies van het xrpl-pakket,” schreef Aikido Security. “Het betreft de officiële SDK voor de XRP Ledger, met meer dan 140.000 wekelijkse downloads.”
Mogelijk catastrofale aanval
Volgens onderzoeker van Aikido Security, Charlie Eriksen, had de achterdeur kunnen leiden tot een “mogelijk catastrofale supply chain-aanval op het crypto-ecosysteem”. Dit type aanval richt zich niet direct op een exchange of gebruiker, maar ook de zwakke schakels in toeleveringsketens. Denk bijvoorbeeld aan updates. Cybercriminelen versturen bijvoorbeeld een gemanipuleerde update naar duizenden gebruikers.
Hoewel de backdoor inmiddels is verwijderd, waarschuwt de XRP Ledger Foundation dat applicaties die gebruikmaken van oudere versies van xrpl.js gevaar lopen.
De potentiële aanval lijkt beperkt te zijn tot derden die hun software hadden geüpdatet naar de kwaadaardige versies. De backdoor is bovendien alleen aangetroffen in de versies van de code die via Node Package Manager (NPM) zijn verspreid.
Verschillende projecten gerelateerd aan XRP, waaronder Xaman Wallet en XRPScan, hebben laten weten dat hun diensten waarschijnlijk veilig zijn.
Eriksen gaf advies aan gebruikers die denken dat ze slachtoffer zijn geworden van de achterdeur:
“Als je denkt dat je mogelijk bent getroffen, moet je ervan uitgaan dat elke seed of privé-sleutel die door de getroffen code is verwerkt, gecompromitteerd is. Deze sleutels mogen niet langer gebruikt worden en bijbehorende assets moeten zo snel mogelijk naar een andere wallet of sleutel worden overgezet.”
De opkomst van nieuwe vormen van cryptocriminaliteit is zeker niet onopgemerkt gebleven. Toch zijn de daadwerkelijke cijfers schokkender dan verwacht, blijkt uit een rapport van Chainalysis.