XRP LedgerのJavaScriptライブラリに重大な脆弱性、財団はアップデート推奨

Bitget App

スマートな取引を実現

neweconomy-news (JP)2025/04/24 06:18

著者:田村聖次

XRPレジャー財団がJavaScriptライブラリ「xrpl.js」の脆弱性を公表

XRPレジャー財団（XRP Ledger Foundation）が、XRPレジャーと対話するためのJavaScriptライブラリ「xrpl.js」の最近のバージョン（v4.2.1-4.2.4およびv2.14.2）に重大な脆弱性が発見されたことを4月23日に発表した。

この脆弱性は、アイキドーセキュリティ（Aikido Security）社のマルウェア研究者チャーリー・エリクセン（Charlie Eriksen）氏によって発見された。同氏はこの「バックドア」が「潜在的に壊滅的な」サプライチェーン攻撃につながる可能性があると指摘している。

この脆弱性はJavaScriptライブラリ「xrpl.js」にのみ影響し、XRPレジャーのコードベースやGitHubリポジトリ自体には影響しないと、XRPレジャー財団は説明している。同財団は、アプリケーション開発者には直ちにv4.2.5またはv2.14.3へのアップグレードを推奨している。

エリクセン氏によると、この脆弱性はアプリケーション構築やXRPレジャーとの対話に使用されるソフトウェア開発キットの最近リリースされたバージョンに「バックドア」が挿入されたことが原因とのことだ。これにより、悪意ある攻撃者がユーザーの秘密鍵を盗み、ウォレットへの不正アクセスを得る可能性がある。

この潜在的な攻撃は、短期間内に悪意のあるバージョンにアップデートしたサードパーティサービスに限定されるとのこと。また、この「バックドア」はNode Package Manager（NPM）上のコードバージョンのみに影響しているようだ。

XRPレジャー財団は、影響を受けたパッケージをnpmで非推奨としており、詳細な事後分析を近日中に共有する予定とのことだ。また、XamanウォレットやXRPScanなど複数のXRP関連プロジェクトが影響を受けていないことを確認している。

エリクセン氏は、影響を受けた可能性がある場合、コードによって処理された任意のシードや秘密鍵が漏洩した可能性があると仮定することが重要だと述べ、それらの鍵は使用を中止し、関連する資産を別のウォレット/鍵に直ちに移動するよう勧告している。

なお、XRPレジャーは10年以上前にリップルラボ（Ripple Labs）によって立ち上げられた、クロスボーダー決済とトークン化のためのブロックチェーンである。

Earlier today, a security researcher from @AikidoSecurity identified a serious vulnerability in the xrpl npm package (v4.2.1-4.2.4 and v2.14.2).

We are aware of the issue and are actively working on a fix.

A detailed post-mortem will follow.
— XRP Ledger Foundation (Official) (@XRPLF) April 22, 2025

画像：PIXTA

この記事の著者・インタビューイ

田村聖次

和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

前の記事テスラ、予想を下回る利益で9億5100万ドルの暗号資産保有を報告次の記事三菱総合研究所と出雲市、NFT活用の観光振興のフィールド実験へ

合わせて読みたい記事

メルカリ、エックスアールピー（XRP）取引サービス開始、BTC・ETHに続きフリマアプリ「メルカリ」にて、暗号資産エックスアールピー（XRP）の取引サービスが提供開始された

大津賀新也ニュース

三菱総合研究所と出雲市、NFT活用の観光振興のフィールド実験へ三菱総合研究所（MRI）が、島根県出雲市と協力し、NFTを活用したデジタルスタンプラリーのフィールド実験を実施予定を4月24日に発表した

大津賀新也ニュース

テスラ、予想を下回る利益で9億5100万ドルの暗号資産保有を報告イーロン・マスク（Elon Musk）氏がCEOを務める電気自動車メーカー「テスラ（Tesla）」が、2025年第1四半期（1～3月期）の決算を4月22日に発表

髙橋知里ニュース

しずおかFG、NFT活用で地域活性化の実証実験しずおかフィナンシャルグループ（SFG）が、地域活性化を目指し、NFTに関する実証実験を開始したと4月18日に発表した

大津賀新也ニュース

メタプラネット、ビットコイン総保有数が5000BTCにビットコイン（BTC）の購入を積極的に進めている東証スタンダード上場企業メタプラネットが、ビットコインの追加購入実施を4月24日に発表した

大津賀新也ニュース

PayPal、独自ステーブルコイン「PYUSD」保有者に年率3.7%の報酬提供へ米決済大手ペイパル（PayPal）が、同社発行の米ドル建てステーブルコイン「PayPal USD（PYUSD）」を保有する米国ユーザーを対象に、年率3.7%で同コインを報酬として提供するロイヤリティプログラムを今夏より開始すると4月23日に発表した。なおプログラム開始時は、米ニューヨーク州在住のユーザーは利用できないとのこと

一本寿和ニュース

トランプ大統領、公式ミームコイン「TRUMP」上位保有者220名を夕食会に招待へドナルド・トランプ（Donald Trump）米大統領の公式ミームコイン「OFFICIAL TRUMP：オフィシャルトランプ（TRUMP）」の上位保有者を招待するプライベートディナーの開催される

大津賀新也ニュース

【4/23話題】キャンターがSBやテザーらとビットコイン投資会社を設立か、トランプ大統領のメディア企業がETFを年内ローンチへなど（音声ニュース）ブロックチェーン・仮想通貨（暗号資産）・フィンテックについてのニュース解説を「あたらしい経済」編集部が、平日毎日ポッドキャストでお届けします。Apple Podcast、Spotify、Voicyなどで配信中。ぜひとも各サービスでチャンネルをフォロー（購読登録）して、日々の情報収集にお役立てください。

あたらしい経済ポッドキャスト Sponsored

BANKEXがMatter Labsを提訴。zkSync開発をめぐる知財侵害を主張＝報道イーサリアム（Ethereum）のレイヤー2スケーリングソリューション「zkSync Era（zkシンクエラ）」を開発するマターラボ（Matter Labs）および同社に関わる人物が知的財産権を侵害したとして、廃業したデジタル資産銀行プラットフォーム「BANKEX」から提訴された

髙橋知里ニュース

最新の記事をさらに見る >

免責事項：本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。

PoolX: 資産をロックして新しいトークンをゲット

最大12%のAPR！エアドロップを継続的に獲得しましょう！

今すぐロック