ハッカーがXRP Ledgerを標的にした重大なサプライチェーン攻撃

ハッカーによるXRP Ledger（XRPL）への攻撃で公式SDKが改ざん被害に

XRP Ledger を対象とした高度なサプライチェーン攻撃が発生し、 リップル （Ripple）の公式SDKに悪意あるコードが仕込まれていたことが明らかになった。

開発者コミュニティに影響が広がる中、ブロックチェーン業界全体におけるソフトウェア供給網の脆弱性が浮き彫りとなっている。Rippleが提供するJavaScriptライブラリ「xrpl.js」が標的となり、ハッカーは同SDKにバックドアを仕込んだ。xrpl.jsは週平均で約13万5,000回以上ダウンロードされる人気ライブラリで、DeFi（分散型金融）アプリケーションの開発で広く使われている。

🚨We have discovered a backdoor in the official #xrpl NPM package. This back door steals private keys and sends them to attackers. The affected versions 4.2.1 – 4.2.4, if you are using an earlier version, do not upgrade. #crypto #malware #npm pic.twitter.com/wshcTFKjbR

— Aikido Security (@AikidoSecurity) April 22, 2025

ブロックチェーンセキュリティ企業 Aikido は、 NPM 上で5回にわたる不審なアップデートを発見。XRP Ledger Foundationは、不正なコードが含まれていたバージョン「4.2.1～4.2.4」および「2.14.2」を即時廃止し、安全な最新版「4.2.5」を公開した。開発者には、使用中のSDKのバージョン確認とアップデートが求められている。

ユーザー資産と開発インフラへのリスク

Node.jsベースのxrpl.jsは、多くのDeFiウォレットやdApps（分散型アプリケーション）に利用されており、不正なコードにより秘密鍵やシードフレーズが外部に送信されるリスクがあった。

XRPLのDeFiウォレットには8,000万ドル（約114億円）ほどの預金があり、被害が出れば甚大な損失が予想される。この攻撃はソフトウェア供給元を狙う典型的なサプライチェーン攻撃であり、Ripple社のインフラ自体は無事だったものの、企業のセキュリティ対応力や信頼性に対する評価にも影響を及ぼす可能性がある。

Ripple幹部の対応と開発者への警告

Rippleのデイビッド・シュワルツ（David Schwartz）CTO（最高技術責任者）は今回の問題について 警鐘 を鳴らした。

また、同社のエンジニアであるマユカ・ヴァダリ（Mayukha Vadari）氏は、XRP Ledgerそのものには影響がなく、被害はnpm上の悪意あるパッケージのみに限定されると説明。GitHub上のコードは安全であることを明言している。

The XRP Ledger itself is unaffected by this. The malware packages only affect services that use xrpl.js and upgraded to the malicious versions that were published less than 24 hours ago. Github remains safe, only npm was compromised.

Please avoid using any services that have… https://t.co/ySWcl50Pmf

— Mayukha Vadari (@msvadari) April 22, 2025

影響を受けたのは、24時間以内に公開された特定バージョンに限定されており、ヴァダリ氏はサービス提供者や開発者に対し、該当バージョンを避けるよう強く呼びかけている。

XRP Ledger Foundationは、問題のあるバージョンの廃止と、複数の主要DeFiウォレットが無事であることを確認。今後は完全な事後分析レポートの公表を予定しており、セキュリティ体制強化に注力していく方針だ。

今回の事件はブロックチェーン業界全体にとっても教訓となる事例であり、依存ライブラリの安全性や開発プロセスの監査、署名付きパッケージの導入など、ソフトウェア供給網全体の信頼性向上が求められている。